World of Warcraftで金貨をだまし取るオークション

WeakAurasというアドオンの悪意あるスクリプトを利用した詐欺が『World of Warcraft Classic』で発生しました。

ゲーマーを標的とする詐欺の場合、ゲームアカウント狙いであることが普通ですが、今回はプレイヤーの金貨を狙った詐欺について取り上げます。絶大な人気を誇るゲームタイトル『World of Warcraft』では、詐欺がたびたび起きています。例えば、チート行為が見られたと脅してアカウント停止をちらつかせるバーチャルペットがもらえると持ちかける…。

今年の5月下旬、『World of Warcraft Classic』のオークションハウスで行われた新手の詐欺について、Redditに投稿がありました(英語)。投稿主は、Chronoboon Displacerというアイテムを金貨66枚でまとめ買いしようとしたところ、11,000枚以上の金貨がアカウントから引かれてしまったと述べています。これは、インストールしていたアドオンの中にあった悪意あるスクリプトの仕業でした。これがどういった仕組みの詐欺だったのか、類似の詐欺やその他の詐欺に遭わないために何ができるか、この記事で見ていきましょう。

『World of Warcraft』のアドオンとは

『World of Warcraft』において、アドオンは便利なだけでなく、時には不可欠な存在です。インターフェイスをカスタマイズする、ゲーム内チャットに入ってくるスパムメッセージをブロックするなど、アドオンを使ってさまざまなことができます。例えばWeakAurasという人気のアドオンを使うと、ボスが次に繰り出してくる大ダメージ攻撃までの時間や、近くのプレイヤーにダメージを加える呪いが自分にかけられていることを示す警告、ヒーラーのManaの残量といった情報を把握できるようになります。

WeakAurasは、本質的には一つのフレームワークです。タイマーやインジケーターはすべて、Luaというプログラミング言語で書かれたスクリプト(通称「Aura」)を使ってベースのアドオンに追加されています。特定のクラス、技能、プロフェッションに特化したAuraの既製パーツを提供するWebサイトは多数あります。一つのクエスト用のAuraや実験的な戦術のAuraなど、特定のAuraを求めるプレイヤーもいます。プログラミングに精通しているプレイヤーの中には、既存のスクリプトをカスタマイズしてAuraを自作する人もいます。

無作為に組んだメンバーとのレイドで、よく知らないレイドリーダーから「このボスとの戦闘では新しい戦術を使用するから、みんなこのAuraをすぐにインストールして」と、リンクが送られてくる場合もあります。もちろん、インストールするかしないかは自分の判断ですが、インストールしないとレイドから追い出されてしまう可能性があります。しかも、このようなリンクはレイドのチャットに張られることが多いので、ほとんどの人は深く考えずにクリックしてスクリプトをインストールしてしまいます。

このようにしてシェアされるスクリプト(掲示板やゲーム内チャットにリンクが張られる場合もある)の使用は危険かもしれない、ということはぜひとも覚えておきたいところです。一元的に検証するような仕組みがないので、Auraに悪意ある何かを入れ込むのは簡単です。そして、Luaを知っていないとコードを確認できません。さらに、不正なAuraでも、特定の条件によって誘発されるまでは本物のスクリプトのようなふるまいを見せることもあります。詐欺師たちがアゼロスで悪用しているのは、まさにこれなのです。

ずる賢いオークション

悪意あるスクリプトは、プレイヤーが特定の消費アイテム(エリクサー、鉱石、薬草など)をオークションハウスで買い込む動きを見せるまでは、特におかしなところも見せずに待ち構えています。買いたいアイテムをプレイヤーが選択した瞬間、このスクリプトは、詐欺師が金貨1万枚で販売しているまったく同じ商品にリダイレクトします。これと同時に、購入確認のシステムメッセージも、元の値段(例:金貨5枚)を表示した偽物にすり替えられます。このようにして、きちんと確認して少額の買い物をしたはずなのに金貨1万枚がアカウントから引かれるようなことになるのです。

盗んだ金貨はゲーム内で使われる場合もありますが、本物のお金に換金する方が一般的です。開発元のBlizzardは、公式Webサイト以外で安く販売されている金貨を購入しないようにと強く推奨していますが(英語)、これにはちゃんとした理由があるのです。

WoWのオークションハウスで詐欺が可能だった理由

『World of Warcraft』は、不正をする人に対して一切容赦しないことで知られています。Blizzardの利用規約でも、ゲームのソースコードに手を加えること、一部のプレイヤーが有利になるツールを使用すること、ゲームプレイに介入することを禁止しています。では、このオークション詐欺はどうして気付かれなかったのでしょうか。

その理由は、このスクリプトがインターフェイスに影響を及ぼすのは必ずWeakAuras経由であるところにあります。WeakAurasは許可されたアドオンです。また、システムからすれば、大きな価値のないアイテムに対してプレイヤーが金貨を何枚支払ったとしても、それはそのプレイヤーが選んだことです。その上、お金を失う原因となったアドオンを、インストールしてある多数のアドオンの中から探し出そうとすれば、ほとんどの人は何らかの手助けが必要です。こうしたことから、詐欺の仕組みが明らかになるまで、多くの人をだます時間があったのでした。

被害を防ぐ方法と、被害に遭った場合にすべきこと

詐欺師たちは、こう考えています。オークションハウス(管理はBlizzardが担当)で不正に遭っても、プレイヤーがそのことに気付くのには少し時間がかかるだろう。それまで何の問題もなかったスクリプトに問題の原因があるということにも、すぐには気が付かないはず。そして、その見立ては当たっていました。プレイヤーとしては、ゲームに頼るのではなく、自分で対策して被害に遭わないようにするのが得策です。

WeakAurasをアップデートする

Reddit上で議論が交わされる中、とあるエキスパートが、被害者のインストールしていたアドオンとスクリプトを解析しました。その結果、悪意あるアドオンが見つかり、そのエキスパートはWeakAurasの開発者に報告しました。現在、問題は修正されています。悪意あるスクリプトをインストールしてしまった場合でも、WeakAurasを最新バージョンにアップデートすれば、そのスクリプトは自動的に削除されるはずです。

ただし、まだ発見されていない悪意あるAuraについては、この方法では対処できません。WeakAurasを危険なスクリプトから確実に保護するには、開発者側で基本的なウイルス対策エンジンを実装し、既存のAuraを定期的にチェックし、悪意あるAuraはデータベースに登録する必要があります。これはかなりの作業です。

何にせよ、WeakAurasをインストールしている人はすぐにアップデートしましょう。

取引の内容をダブルチェックする

今回取り上げた件では役に立たないかもしれませんが、取引内容をしっかり確認することは、多くのケースで役立つ基本と言ってよいでしょう。詐欺師たちがプレイヤーをだます手口は、アドオンを使うことだけではありません。例えば、あなたがアイテムを購入しようとウィンドウ内に金額を入力した直後に別の安いアイテムとすり替えたり、あなたに支払う金額からゼロを2つ素早く消したり、といった手口があります。そこで、取引を確定する前に何秒か時間を置いて、アイテムと購入金額をきちんと確認することをお勧めします。オンラインゲーム内で安全な取引をするためのヒントも、ぜひ参考にしてください。

被害に遭った場合は助けを求める

自分が詐欺に遭ったと気付いた場合は、サポートに連絡し、掲示板でスレッドを立てて、そのことを他の人にも共有しましょう。いずれの場合も、スクリーンショットとインストールしているアドオンの一覧を添付してください。管理者や経験豊富なプレイヤーがアドバイスをくれたり、次にやるべきことを教えてくれたりするはずです。また、助けを求めることで、ほかのプレイヤーに注意喚起することにもなりますし、もしかすると金貨を取り戻すことができるかもしれません。

自分を守る

信頼できるセキュリティ製品をインストールしておくことも欠かせません。World of Warcraftのアドオンの不正スクリプトを検知することはできないかもしれませんが、悪意あるWebサイトや悪質なプログラムからの保護に役立ちます。

ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?