掲載日：2021/03/18

ハッカーはどのようにオンラインゲームを悪用するのか

※ 本ブログは、2018年10月31日にBromium Blogポストされた How Hackers Exploit Online Gamesの日本語訳です。

Into the Web of Profitは、Surrey大学の犯罪学の上級講師であるMike McGuire博士による9ヶ月間に渡る学術研究です。この研究は、有罪判決を受けたサイバー犯罪者への直接のインタビュー、国際的な法執行機関、金融機関からのデータ、ダークウェブ全体の観察から導き出されています。

Mike McGuire博士について：Michael McGuire博士は、2012年9月から英国Surrey大学の犯罪学の上級講師をしています。 London School of Economics で哲学と科学的方法を学び経済学の学士号を取得した後、King’s College Londonで博士号を取得しました。その後、技術と司法制度の研究で国際的な注目を集め、これらの分野で広く活動しています。

オンラインゲームサービスのような合法的なプラットフォームはハッカーの温床となっており、ゲーム内通貨やマイクロトランザクションがゲーム業界の標的となっています。
また、オンラインゲームは、疑っていないプレイヤーにマルウェアを試すハッカーの激しい実験場にもなっています。

ハッカーがLinkedInのようなソーシャルネットワークを利用することは、プラットフォーム犯罪の時代にあって目新しいことではありません。しかし、Sonyのような大規模な侵害があったにもかかわらず、サイバー犯罪者のターゲットとして見過ごされがちなのは、人気のあるビデオゲームです。Fortniteのようなオンラインゲームは昨年、人気が爆発的に高まり、最近では1億2500万ダウンロードを記録しました。

この人気はウェブの闇でも放ってはおかれず、多くのプレイヤーが自分のアカウントが侵害されたと報告するなど、ハッカーの存在に対する懸念が高まっています。しかし、なぜこれが重要なのか、そしてサイバー犯罪者が魅力を感じるオンラインゲームとは何なのでしょうか？

ゲーム内通貨とマイクロトランザクションがゲーム業界を標的にさせる

オンラインゲームがサイバー犯罪者の標的となっている最大の理由の一つは、多くのオンラインゲームがゲーム内購入に依存しているという事実です。ゲーム内通貨やマイクロトランザクションの利用が増加していることから、これらの支払いを乗っ取ろうとするハッカーが増えています。プレイヤーを悪用する方法には、ユーザーを騙してマルウェアを購入させたりダウンロードさせたりするための偽のプロモーションやアイテムを作成することも含まれています。さらに、ハッカーはゲーム内で購入したプレイヤーから支払いの詳細を盗もうとしています。私が行ったWeb of Profitの調査では、盗まれたクレジットカード50枚だけで、それを盗んだ犯罪者に25万ドルから100万ドルの収入がもたらされることが判明しました。

また、ゲーム内購入やマイクロ通貨の普及は、犯罪者が以前の犯罪行為の戦利品をロンダリングするために操作できるプラットフォームを提供しています。Clash of ClansやWorld of Warcraftなどのマルチプレイヤーゲームを使って、サイバー犯罪やその他の犯罪行為の収益をロンダリングする方法を議論しているオンラインフォーラムがいくつか見つかりました。

ほとんどのプレイヤーにとっては、罪のないFortniteのゲーム中にサイバー犯罪に遭遇する可能性は非常に低いと感じるかもしれませんが、調査によると、この問題は一般的な予想をはるかに超えて広がっており、5人に1人がゲーム詐欺の被害に遭っていることが明らかになっています。

オンラインゲーム - ハッカーの揺籃器？

Minecraftは、その誕生以来、マルウェアやハッカーとの問題を抱えてきました。2018年、5万近くのMinecraftアカウントが、プレイヤーが公式サイトからダウンロードしたキャラクターの「スキン」を改造して配布されたマルウェアに感染していることが判明しました。マルウェアは検知されずにゲームの公式サイトにアップロードされていたことから、プレイヤー（多くは子供たち）を犯罪行為から守るためのゲーム制作者の取り組みに懸念が高まっていました。

また、これらのマルウェアの系統が、より有害なプロジェクトの始まりである可能性があることを認識することも重要です。2016年にインターネットをダウンさせた悪名高いMiraiボットネットは、Minecraftに端を発しています。このマルウェアは当初、単にゲーム内のハッカーに有利な状況を作り出すことを目的としていましたが、ウェブ全体に被害をもたらしました。これは単純に見えるかもしれませんが、オンラインゲームにおけるマルウェアを取り締まり、後に企業や政府機関への攻撃を試みる可能性のある将来のハッカーの訓練場としてオンラインゲームが利用されることを防ぐための明確な警告ととらえるべきでしょう。

オンラインゲームは、相互接続されたWeb of Profitの一部

個々のプレイヤーの窮状は、組織や彼らを守るために行われているサイバーセキュリティの取り組みとはかけ離れていると感じるかもしれません。しかし、サイバー犯罪は複雑に絡み合っており、オンラインでゲーマーを標的にしたサイバー犯罪者の影響は、後になってより広範囲に及ぶことになります。新たなマルウェアが開発されたり、個人情報が盗まれたりするなど、これらの犯罪活動がゲーマーにもたらす潜在的な脅威は、より広い世界にも適用される可能性があり、見逃すべきではありません。

広大で高収益のサイバー犯罪経済は、多くの部分が連動して活動しているため、手ごわい相手です。当局とサイバーセキュリティの専門家が協力して、身近に感じられる部分だけでなく、サイバー犯罪全体に取り組むためのより全体的なアプローチを形成することが重要です。門の中に閉じこもり、ネットワークへの攻撃を待つのではなく、脅威の世界に飛び出して、サイバー犯罪者の本拠地でサイバー犯罪者と戦うことを始めなければなりません。