ニュース
オンラインセキュリティカンファレンス「CeCOS II」で語られた,フィッシング/クラッキングとRMTの結びつきとは?
そこでこの記事では,オンラインゲームに関わりの深いセッション2本に絞って,講演の模様をお伝えする。1本目はビットキャッシュの営業企画部 部長 片山昌徳氏による「オンライン決済のセキュリティ事情(livedoor,OnlineGameなどの実例)」だ。氏は,フィッシング詐欺で不正に入手されたクレジットカードIDが悪用されるルートの一つとして,オンラインゲームのRMT(リアルマネートレード)を挙げる。
■RMTサイトへの支払いに,詐取した電子マネーやクレジットカードを使う
■不正に入手したアイテムやゲームサービスIDを販売する
■パブリッシャへの支払いに詐取した電子マネーやクレジットカードを使う
■クラッキングによる,決済会社への入金情報の改ざん
■ゲーム内のデータ改ざん
■他人のゲームサービスIDを詐取して,RMTサイトでアイテムやIDそのものを売る
といった多様な実例を示した。ただし,電子マネー会社を狙ったクラッキングでも,オンラインゲームの決済システムをターゲットにした不正アクセスでも,流出した総額に対して実際に犯人が“使いきれる”金額が,往々にしてずっと小さいことをも,同時に指摘する。
というのも,多額の仮想通貨を一度に手にしたところで,それを怪しまれない形でアイテムや現金にしていくことが存外難しいからなのだそうだ。NTTカードソリューションにおける8万1105件のID流出例では,電子マネーをいったんゲーム内アイテムに換えて売りさばこうとしたが,流出総額約3億円に対して,実際に換金できたのは327万円にすぎなかった。また,2007年6月に起きた,オンラインゲームの決済システムに対するID詐取のクラッキングでは,3606万円分のうち,約700万円分を60万円相当のWebMoneyに交換するところまでに留まったという。
これには,大規模なクレジットカードの不正利用が,しばしばショッピングサイトぐるみでなされるという背景があるようなのだが,決済代行会社やカード会社,銀行などが協力して作り上げている仕組みであるにもかかわらず,多くのショッピングサイトにとってリスク負担の分散が考えられていない現状を,大きな課題とした。
もう一つの問題が,調査への着手が遅れるという時間的な要素だ。片山氏は同じくクレジットカードのなりすましを例に,カードの正規の利用者がインボイスの不審に気づいてカード会社に連絡するところから始まる場合のフローを図示し,不正利用の発生から調査開始までに,通常は3か月かかってしまうことを説明した。
その図は同時に,どの段階で不正利用を見抜ければどれだけ調査開始が早められ,犯人逮捕に貢献できるかや,関係各社の協力のスムースさがいかに重要かということをも,示している。
さて,クレジットカードの不正利用に伴うショッピングサイトの一方的負担の話の続きとして,片山氏はlivedoorのショッピングモールビジネスを例に,3-D Secureの効用を説明した。livedoorでは2004年からショッピングモールビジネスを開始したが,不正利用が後を絶たないため,目視によるトランザクション監視を2005年3月まで続けていた。この間,不正利用金額は1日約200万円,1か月で約6000万円という規模に達したものの,監視の甲斐あって実被害はその200分の1に抑えられていた。
要するに怪しい取り引きを見かけたら,それを人の手で凍結したりキャンセルしたりすることにより,被害の大半を未然に防いでいたわけである。ただしこれだと,人的コストがバカにならない。不正利用は土日の深夜など,一般的に考えて警戒の手薄そうなタイミングで多発するため,監視体制を緩めるわけにいかないのである。
このように,カード会社が推奨するソリューションの利用は有効であるにもかかわらず,3D-Secureについては2007年5月の時点で,カード決済売上高上位100社中34社しか導入できていないのが現実で,3D-Secureによるパスワード登録率も,わずか4.7%であるらしい。そうした状況を前にカード業界では,2012年までに売上高上位100社中70社,パスワード登録率9.4%を当面の目標としている。
その一方で物理的被害の見地で捉えたとき,デジタルコンテンツのクラッキングは提供業者にとっての実損害が少ないことを,動画コンテンツ再生を例に示し,そのことがセキュリティへの関心を抑制してしまう危険について警鐘を鳴らした。
このところ,カード会社とオンラインゲームパブリッシャの間では,むしろ被害時の補償額の話題がホットなことを側聞していたため,逆に大前提に目が行っていなかったのだが,実は3D-Secure自体,まだまだ極めて低い普及率に留まっているのである。
オンライン決済全体に関して,利用者の関心が最も高いのは安全面だという氏の指摘は,オンラインゲームサービスについても当てはまることだろう。今後のオンラインゲームサービスの行方を考えたとき,より実情に即した解決が図られることでしか,プレイヤーの安全は守られない。妥当な“被害負荷分散”が1日も早くまとまることを,祈るばかりである。
日本オンラインゲーム協会会長 植田修平氏 |
NHN Japan セキュリティ室マネージャー 増村洋二氏 |
さて片山氏に続いては,日本オンラインゲーム協会(JOGA)会長の植田修平氏(ゲームポット 代表取締役)が登壇し,「オンラインゲーム 不正行為とその対策」と題するセッションで,同協会の取り組みを不正アクセス/RMT分科会を中心に説明した。
PCオンラインゲームがこの5〜6年で急速に成長したため,セキュリティに関する取り組みが後手に回りがちであったという認識を示しつつも,片山氏の発言にあった,デジタルコンテンツ→実被害小→セキュリティ軽視という構図の可能性を明確に否定。オンラインゲーム事業者が不正アクセス問題をいかに重視しているかを強調した。
そして,同協会の理事であるNHN Japanの,セキュリティ室マネージャー 増村洋二氏が,日本オンラインゲーム協会とも連携しつつ,自社で取り組んでいるセキュリティ案件の概要を説明した。
■チート(クライアントソフト改ざんなど)
■BOT
■(ゴールド)ファーマー
■ゲームサービスID/パスワード詐取による不正アクセス
■不正入手カードによる決済
■ゲームサービスIDの売買
■ダイレクトハッキングによるソースコード入手
■キャラクター育成代行サービス
そして不正行為の横行が,いかにオンラインゲームビジネスにダメージを与えるかを図示し,先刻の植田氏による,オンラインゲームパブリッシャのセキュリティ意識に関する指摘を裏書きした。
■RMTの公的解釈とLegal対応
■Black Listの業界内共有と対応
■啓蒙/モラル向上強化
■決済機関との連携
の4点を挙げた。
不正アクセス被害への対処と,不正アクセスの防止。いずれの面でも今日的課題の一端が示されたカンファレンスだった。
- この記事のURL:
キーワード