高度化・巧妙化するハッキングに対抗するには――アンラボがオンラインゲームやスマートフォンにおけるセキュリティ動向セミナーを開催

　本日（2011年4月12日），セキュリティソリューションプロバイダーのアンラボは，オンラインゲーム企業に向けた「ハッキング事例及び対策/セキュリティ動向セミナー」を，日本オンラインゲーム協会（JOGA）の後援のもと開催した。

　セミナーの冒頭，JOGAの事務局長を務める川口洋司氏は，同協会が，オンラインゲームのセキュリティについて分科会やワーキンググループを定期的に開催するなどして対策を講じていると話し，準会員であるアンラボからも協力を受けていると説明した。
　また，JOGAの理事企業であるNHN Japanからは取締役の泉原克人氏が登壇し，昨今のハッキングの手口の変化について言及した。泉原氏曰く，攻撃ターゲットが個人や個別の企業から，インフラやSNSなどの社会的な存在へと移行し，また複数の攻撃手段を組み合わせるなどの高度化・巧妙化が見られるとのこと。
　そうした状況下においては，ハッキングのトレンドを注意深く読み解いていくことが必要であり，今ある脆弱性に対処するだけでなく，将来起こりうるリスクの予測と回避，あるいはリスクが発生した場合に，いかに最小化しプラスに転じさせるかなどを考えなければならないとまとめた。

日本オンラインゲーム協会（JOGA） 事務局長 川口洋司氏

NHN Japan 取締役 泉原克人氏

アンラボ 企画マーケティング部の愼 麻由美氏

　セミナー本編は2部構成で，第1部では，アンラボ 企画マーケティング部の愼 麻由美氏が，今後需要がますます拡大するであろう，スマートフォンのセキュリティ対策をテーマとしたセッションを行った。
　愼氏によれば，Android端末においてはマルウェアによる個人情報や口座情報の漏洩，決済やIDの盗用，フィッシング，位置情報の追跡といった脅威が確認されているとのこと。
　Android端末をターゲットにしたマルウェアが最初に見つかったのは，2010年8月。当初は壁紙変更ソフトなどを装ったトロイの木馬タイプのものだったが，2011年1月にはゲーム組み込み型のボットタイプへと進化し，また配布手段も小規模サイトからAndroid マーケットへと移行するなど，手口の高度化・巧妙化が見られるという。


　愼氏は，こうしたハッキング手口の高度化・巧妙化は，かつてPCのマルウェアがたどった進化の過程に酷似していると指摘。近い将来，Android端末においても，PCと同様に金銭や政治的/社会的な目的による組織化されたマルウェアが登場するだろうと予測する。さらに愼氏は，PCやスマートフォンと関連の深いFacebookにおいても，同様の脅威が見られることにも言及した。


　セッションの最後，愼氏は以下の「スマートフォンの安全十か条」を紹介してセッションを締めくくった。
　なお，同じスマートフォンでもiPhoneはApp storeを介したクローズドな環境でアプリが配信されるため大きな脅威は見られないが，Jailbreak，いわゆる“脱獄”行為をしている端末に関してはこの限りではないことを強調していた。

●スマートフォンの安全十か条
・疑わしいアプリはインストールしない
・ゲームなどのアプリDLは，他ユーザーの評価をまず確認
・メール/メッセンジャーなどのURLクリックは慎重に
・PCからのファイルDLは，まずセキュリティソフトでスキャン
・パスワードを必ず設定。変更も忘れずに
・BlueTooth機能は必要時のみオン
・自動ログイン設定は使用しない
・ID/パスワードはスマートフォンに保存しない
・定期的なバックアップで，紛失時の情報空白期間をなくす
・改造/ルーティング/Jailbreakなどを行わない

アンラボ 営業部 大谷氏

　第2部では，アンラボ 営業部の大谷氏が，オンラインゲーム企業のハッキング事例と対策に関するセッションを行った。
　大谷氏は，オンラインゲームを対象にしたハッキングツールの急増など，2010年度のセキュリティ脅威の10大動向に言及。それを踏まえて，2011年度の7大セキュリティトレンドを挙げ，多くの一般ユーザーが関心を抱くSNSやクラウド，あるいは社会インフラを狙った脅威の増加が予測されると述べた。
　また大谷氏は，ソーシャルゲームやブラウザゲームもハッキングの対象になるだろうと話していた。


　大谷氏は，ハッキングの具体的な手段として，以下の3種類を挙げる。

・Eメールを使った攻撃
・Web/システム/ネットワークの脆弱性を利用した攻撃
・開発会社を利用・経由しての攻撃

　その中でも2010年は，Operation AuroraやStuxnetなど，特定のターゲットに対して持続的に攻撃・潜伏を行い，さまざまな手段で執拗にスパイ行為や妨害行為などを行うAPT（Advanced Persistent Threat）攻撃が台頭したが，それらは長期にわたって綿密に準備されたものであると指摘する。
　したがってオンラインゲーム企業においても，不明なIPからのアクセスなどはAPT攻撃の準備段階である可能性があり，そのまま放置しておくと，ビッグタイトルのローンチ時や金銭価値の高まったタイミングなどを狙ったAPT攻撃が行われるかもしれないと述べていた。

オンラインゲーム企業に見られるハッキング事例の背景

　続けて大谷氏は，実際のオンラインゲームのハッキング事例およびアンラボの対応を，企業規模の異なる3つの例に分けて紹介。ヒアリングに始まり，ファイアウォールの遮断，ログやサーバの分析，それに基づく模擬ハッキングや対応ワクチンの制作および配布といった過程が公開された。

小規模オンラインゲーム企業に対する攻撃シナリオと対応策の例
中規模オンラインゲーム企業に対する攻撃シナリオと対応策の例
他業種も手がける大規模オンラインゲーム企業に対する攻撃シナリオと対応策の例

アンラボ 小山氏

　また会場では，アンラボの小山氏が実際にハッキングツールを使って同社のテストサーバーに侵入し，ハッキングツールがいかに簡単にデータベースなどを改ざんできるか，あるいはアンラボがどのように侵入経路を特定し，迅速かつ適切な対応策を講じるかを実演して見せた。
　最後に大谷氏は，既存のセキュリティソリューションには限界があると述べ，高度化・巧妙化した攻撃の脅威に対抗するには，セキュリティ監視のパラダイムシフトが必要であると締め括った。

会場では，アンラボのテストサーバーを使ってハッキングとその対応の実演デモが行われた

アンラボ公式サイト