オンラインセキュリティカンファレンス「CeCOS II」で語られた，フィッシング/クラッキングとRMTの結びつきとは？

　Anti Phishing Working Group（APWG）が主催する，セキュリティカンファレンス「第2回ネット犯罪対策運用サミット」（CeCOS II。The second annual Counter-eCrime Operations Summit）が，本日（5月26日）から明日にかけて，都内で開催されている。イベント全体としては，オンライン上の金融詐欺の傾向と対策全般について学術関係者や専門家が講演するというものだが，もちろんオンラインゲームにおける課金/決済システムも無関係ではない。

　そこでこの記事では，オンラインゲームに関わりの深いセッション2本に絞って，講演の模様をお伝えする。1本目はビットキャッシュの営業企画部 部長 片山昌徳氏による「オンライン決済のセキュリティ事情（livedoor，OnlineGameなどの実例）」だ。氏は，フィッシング詐欺で不正に入手されたクレジットカードIDが悪用されるルートの一つとして，オンラインゲームのRMT（リアルマネートレード）を挙げる。

livedoor在籍経験も踏まえ不正アクセス被害について解説する，ビットキャッシュ 営業企画部 部長 片山昌徳氏

　決済代行会社という立ち位置に即して，片山氏は，

■RMTサイトへの支払いに，詐取した電子マネーやクレジットカードを使う
■不正に入手したアイテムやゲームサービスIDを販売する
■パブリッシャへの支払いに詐取した電子マネーやクレジットカードを使う
■クラッキングによる，決済会社への入金情報の改ざん
■ゲーム内のデータ改ざん
■他人のゲームサービスIDを詐取して，RMTサイトでアイテムやIDそのものを売る

といった多様な実例を示した。ただし，電子マネー会社を狙ったクラッキングでも，オンラインゲームの決済システムをターゲットにした不正アクセスでも，流出した総額に対して実際に犯人が“使いきれる”金額が，往々にしてずっと小さいことをも，同時に指摘する。
　というのも，多額の仮想通貨を一度に手にしたところで，それを怪しまれない形でアイテムや現金にしていくことが存外難しいからなのだそうだ。NTTカードソリューションにおける8万1105件のID流出例では，電子マネーをいったんゲーム内アイテムに換えて売りさばこうとしたが，流出総額約3億円に対して，実際に換金できたのは327万円にすぎなかった。また，2007年6月に起きた，オンラインゲームの決済システムに対するID詐取のクラッキングでは，3606万円分のうち，約700万円分を60万円相当のWebMoneyに交換するところまでに留まったという。



　とはいえオンライン決済は，まだまだ問題を抱えていて，そのうちの大きなものの一つが，事件への対応に誰が責任を持つかという部分なのだそうだ。例えばフィッシング詐欺を起点にクレジットカードのなりすまし利用が行われた場合，実行犯が買い物をしたショッピングサイトが，調査/報告/被害の食い止め/警察への連絡などの責任を背負い込むのが実情らしい。
　これには，大規模なクレジットカードの不正利用が，しばしばショッピングサイトぐるみでなされるという背景があるようなのだが，決済代行会社やカード会社，銀行などが協力して作り上げている仕組みであるにもかかわらず，多くのショッピングサイトにとってリスク負担の分散が考えられていない現状を，大きな課題とした。

　もう一つの問題が，調査への着手が遅れるという時間的な要素だ。片山氏は同じくクレジットカードのなりすましを例に，カードの正規の利用者がインボイスの不審に気づいてカード会社に連絡するところから始まる場合のフローを図示し，不正利用の発生から調査開始までに，通常は3か月かかってしまうことを説明した。
　その図は同時に，どの段階で不正利用を見抜ければどれだけ調査開始が早められ，犯人逮捕に貢献できるかや，関係各社の協力のスムースさがいかに重要かということをも，示している。



　また全体的な傾向として，社団法人日本クレジット産業協会の資料を基に，クレジットカード利用全体とオンライン決済に限った場合における，不正利用割合も示された。2004年1月から2006年9月までの間，クレジットカード利用全体で見ると，不正利用の発生率も被害額も減少に向かっている。それに対してオンライン決済のみで見た場合，多少の上がり下がりはあるものの，全体として不正利用の発生率が上昇傾向にある。

　さて，クレジットカードの不正利用に伴うショッピングサイトの一方的負担の話の続きとして，片山氏はlivedoorのショッピングモールビジネスを例に，3-D Secureの効用を説明した。livedoorでは2004年からショッピングモールビジネスを開始したが，不正利用が後を絶たないため，目視によるトランザクション監視を2005年3月まで続けていた。この間，不正利用金額は1日約200万円，1か月で約6000万円という規模に達したものの，監視の甲斐あって実被害はその200分の1に抑えられていた。

　要するに怪しい取り引きを見かけたら，それを人の手で凍結したりキャンセルしたりすることにより，被害の大半を未然に防いでいたわけである。ただしこれだと，人的コストがバカにならない。不正利用は土日の深夜など，一般的に考えて警戒の手薄そうなタイミングで多発するため，監視体制を緩めるわけにいかないのである。

　そこで2005年3月，VISAが推奨する3D-Secureを，日本のショッピングサイトとして初めて導入したところ，不正利用額に変化はなかったものの，実被害額はゼロになった。3D-Secureは新しいパスワード認証である点もさることながら，カード会社がトランザクション監視に乗り出すことでショッピングサイト側にはカード会社から連絡が来るようになり，かつ，これを用いたときの実被害に対しては，カード会社から補填がなされる制度であるためだ。

　このように，カード会社が推奨するソリューションの利用は有効であるにもかかわらず，3D-Secureについては2007年5月の時点で，カード決済売上高上位100社中34社しか導入できていないのが現実で，3D-Secureによるパスワード登録率も，わずか4.7％であるらしい。そうした状況を前にカード業界では，2012年までに売上高上位100社中70社，パスワード登録率9.4％を当面の目標としている。



　話の最後に氏は，富士キメラ総研による「2007デジタルコンテンツ市場総調査」を出典に，伸びしろの大半をPCオンラインゲームが占める形で，今後デジタルコンテンツが大幅に伸びていくとする予測を示した。そして，市場規模の拡大が犯罪者への認知を高め，換金効率の高さ（デジタルコンテンツは劣化しないことを思い出してほしい）という二つの指標が，ネット犯罪を招き寄せると指摘した。
　その一方で物理的被害の見地で捉えたとき，デジタルコンテンツのクラッキングは提供業者にとっての実損害が少ないことを，動画コンテンツ再生を例に示し，そのことがセキュリティへの関心を抑制してしまう危険について警鐘を鳴らした。


　このところ，カード会社とオンラインゲームパブリッシャの間では，むしろ被害時の補償額の話題がホットなことを側聞していたため，逆に大前提に目が行っていなかったのだが，実は3D-Secure自体，まだまだ極めて低い普及率に留まっているのである。
　オンライン決済全体に関して，利用者の関心が最も高いのは安全面だという氏の指摘は，オンラインゲームサービスについても当てはまることだろう。今後のオンラインゲームサービスの行方を考えたとき，より実情に即した解決が図られることでしか，プレイヤーの安全は守られない。妥当な“被害負荷分散”が1日も早くまとまることを，祈るばかりである。

日本オンラインゲーム協会会長 植田修平氏

NHN Japan セキュリティ室マネージャー 増村洋二氏

　さて片山氏に続いては，日本オンラインゲーム協会（JOGA）会長の植田修平氏（ゲームポット 代表取締役）が登壇し，「オンラインゲーム 不正行為とその対策」と題するセッションで，同協会の取り組みを不正アクセス/RMT分科会を中心に説明した。
　PCオンラインゲームがこの5〜6年で急速に成長したため，セキュリティに関する取り組みが後手に回りがちであったという認識を示しつつも，片山氏の発言にあった，デジタルコンテンツ→実被害小→セキュリティ軽視という構図の可能性を明確に否定。オンラインゲーム事業者が不正アクセス問題をいかに重視しているかを強調した。

　そして，同協会の理事であるNHN Japanの，セキュリティ室マネージャー 増村洋二氏が，日本オンラインゲーム協会とも連携しつつ，自社で取り組んでいるセキュリティ案件の概要を説明した。



　増村氏も，RMTサイトを舞台としてゲーム内財産が現金化されている現状を，代表的な不正アクセスの構図と指摘，そのほか，それぞれ別の動機や目的に基づく不正アクセスの代表的な例を列挙した。

■チート（クライアントソフト改ざんなど）
■BOT
■（ゴールド）ファーマー
■ゲームサービスID/パスワード詐取による不正アクセス
■不正入手カードによる決済
■ゲームサービスIDの売買
■ダイレクトハッキングによるソースコード入手
■キャラクター育成代行サービス


　個々の例に関する解説はごく概括的なものにとどまったものの，NHN Japanとしての体験を踏まえた説明部分には，興味深い論点も見受けられた。例えば，最もメジャーな不正アクセスの形がチートであること，ゲームサービスID/パスワードの盗用も，それに負けず劣らず多発していること，そして，3-D Secureとて新規パスワードごと詐取されてしまえば悪用を防ぎようがないのであって，あるゲームでの取り引きがいきなり2〜4倍に増えたときは，どこかのWebサービスでSQLインジェクションなどによる大規模な情報流出が起きたタイミングと重なるなどという，実に生々しい話題が展開された。

　そして不正行為の横行が，いかにオンラインゲームビジネスにダメージを与えるかを図示し，先刻の植田氏による，オンラインゲームパブリッシャのセキュリティ意識に関する指摘を裏書きした。



　また，NHN Japanが実施している代表的な不正対策を挙げたあと，今後必要な対策として，

■RMTの公的解釈とLegal対応
■Black Listの業界内共有と対応
■啓蒙/モラル向上強化
■決済機関との連携

の4点を挙げた。


　クラッキングと組み合わせられたとき，アイテム課金のゲームシステムといえどもRMT（業者）の悪影響を免れられないという指摘は，言われてみればそのとおりだ。もちろんRMT自体の法的位置付けは，そうした副次的な現象だけから軽々に断じるわけにはいかないものの，アイテム課金システムを採用したゲームを多く取り扱うNHN Japanが，（パブリッシャとして，アイテムを事実上お金で売っているにもかかわらず）自社サービスの規約としてRMTを禁止している背景は，ある程度理解できたように思う。どれもいささか漠たる話ではあったのだが，RMTサイトが事実上の盗品市場として機能してしまうのは，誰から見ても問題のある状態だろう。

　不正アクセス被害への対処と，不正アクセスの防止。いずれの面でも今日的課題の一端が示されたカンファレンスだった。