ネクソンと神奈川県警が「ゲームセキュリティ講座」を実施。ゲームにおける不正犯罪の現状と，その対策が語られた講義の模様をレポート

　ネクソンと神奈川県警察本部は，2014年11月13日と12月1日の両日，神奈川県内のIT系専門学校にて，「守れ！ゲームセキュリティ 〜事例から学ぶゲーム業界におけるサイバー犯罪とその対策〜」と題した講義を行った。この講義では，ゲーム内の不正や取り締まり，そしてゲーム会社が実施している対策について説明がなされた。本稿では，12月1日に行われた横浜デジタルアーツ専門学校の講義の模様をレポートしよう。

神奈川県警 サイバー犯罪対策課が取り組むゲーム不正の取り締まりとは

　講義の第1部では，神奈川県警察 サイバー犯罪対策課 対策係 信太正樹氏により，ゲーム内の不正や取り締まりについて，事例をもとにした説明が行われた。
　それによると，サイバー犯罪というものは，昔からゲーム業界と無縁ではないという。サイバー犯罪の犯人は，考えついた手法をまずゲームで試し，それをサイバー攻撃手法として進化させていくことが多いというのだ。

神奈川県警察 サイバー犯罪対策課 対策係 信太正樹氏

　現在，ゲーム業界で行われるサイバー犯罪は，コンテンツに対する著作権侵害，アカウントハック，ウイルス利用に加え，サイバーテロやサイバー攻撃に使われるような手口も見られるようになっている。
　また，そうした手口の捜査や研究を進めていくと，当然ながら特定の傾向が見えてくるという。たとえばフィッシングメールは，無差別に送信されているわけではなく，金融機関の利用者やゲームプレイヤーに向けて送られているケースが多いとのことで，送信者が送信先の情報をある程度把握しているのではないかと分析されているそうである。


　それでは犯人は，なぜゲームでサイバー犯罪を行うのかというと，その動機は大きく3つに分類される。
　動機の1つめは，RMTに代表されるように「経済上の利益を得るため」である。とくに最近では，アカウントやアイテムを現金化する仕組みがネット上に多く存在するため，件数も増加しているとのこと。また手口も巧妙化しており，捜査も難しくなっているという。

　2つめは「自己顕示欲を満たすため」で，これはゲーム内の強力なアカウントやアイテムを入手するために行うもの。被疑者はそのままゲーム内に留まることが多く，手口も単純なので，比較的解決に至りやすい。

　3つめは「怨恨」である。これは主にゲーム会社（運営チーム）に対する抗議の意味を込めて，サーバーにDDoS攻撃などを行うことを指すが，昨今ではサーバートラブルに対して配布されるお詫びアイテムを狙って行われることもあるという。

　また，神奈川県警のサイバー犯罪対策課では，RMT，エミュレータサーバー，そしてチートツールが，「ゲーム関連の三大犯罪」として位置付けられているとのこと。しかし，これらを取り締まるにあたって，いずれも犯罪としてどういった法律を適用させるかという部分が課題になっているそうだ。
　取り締まりの例としては，エミュレータサーバーが，同一性保持権の侵害や公衆送信権の侵害といった，重い罪に問われたことがあるという。

不正ツールを使ってサーバーにDDoS攻撃を行い，億単位の被害損額を与えた事例も紹介された

　最近の事例としては，ソーシャルエンジニアリングを利用したスマートフォンアプリの不正アクセスなどが紹介された。ここで興味深いのは，「パズル＆ドラゴンズ」（iOS/Android）のような，端末固有のIDが発行され，さらにプレイヤー間のアイテム譲渡機能もないタイトルでも，不正アクセスが発生しているということ。
　何らかの方法でIDなどの情報入手し，データ復旧や端末の機種変更を装って，強いプレイヤーのアカウントを乗っ取るケースもあるというのだ。

　講義の中では，2014年6月に「サドンアタック」で，チートツール使用者3名が電子計算機損壊等業務妨害容疑で書類送検された事例も紹介された。それ以前は，チートツールの使用が犯罪になるという認識がまだ明確ではなかったため，この事件は世間一般にも大きな波紋を呼び，新聞やテレビのニュースでも取り上げられる事態となったことは記憶に新しい。
　また当時，チートツールの販売業者からの神奈川県警に対する問い合わせも多かったそうで，結果として，チートツールを取り扱う業者やサイトは激減したとのことである。


　しかしその一方で，チートツールの取り締まりには，依然として問題はある。法的な側面からは，そもそもチート行為を直接罰する法律はないし，またゲームをどう定義するかという問題から，著作権法を適用するのも難しい。かといって，著作権法の同一性保持権などの適用を考えた場合，今度はチート利用者が罪を問われ，チートツールの制作者や販売者はその幇助をしたという形になってしまうので，そもそもはツールを制作したり販売したりする方が悪いのではないかという議論も生まれる。

　また技術的な側面では，現在主流のオンラインゲームのシステムだと，一部の処理を端末のクライアントで行っているという仕様上，不正を防ぐにも限界がある。さらに匿名化技術の利用により，どのような経路で不正がなされたか追跡するのも困難だ。加えて，リバースコンパイルなどによって，比較的容易にツールをコピーし拡散できてしまうのも問題である。

　最後に信太氏は，聴講者である学生に向けて，「法律に違反しているかどうかではなく，その行為が他人に害を与えていないか，家族や友人知人に胸を張って説明できるかどうかを基準に，想像力を働かせ，責任を持って判断してほしい」と述べ，また将来，もしゲームを管理する側になった場合には「ダメなことはダメだとプレイヤーに伝えることをはじめとして，多層防御の原則に従い，やるべきことはしっかり行ってほしい」として，講義をまとめた。

コーエーテクモゲームスと神奈川県警との取り組みや，割れ窓理論の紹介もなされた

オンラインゲームの不正行為に対するネクソンの取り組み

　講義の第2部では，ネクソン 運用本部 サポートチーム 瀬尾雄紀氏によって，オンラインゲームにおける不正行為に対して，同社が行っている取り組みが紹介された。
　瀬尾氏は，まずオンラインゲーム運営で大切なこととして，「プレイヤーが快適に楽しめる場を提供し続けること」を挙げる。とくにオンラインゲームは，一時的に楽しめればいいというものではなく，サービスを継続していくことを考えなければならないというわけである。ちなみにネクソンでは，オンラインゲーム運営におけるイベント開催や設備のメンテナンスなどの業務を，遊園地の管理にたとえているとのことだ。

ネクソン 運用本部 サポートチーム 瀬尾雄紀氏

　そんな地道な努力のもとに運営されているオンラインゲームだが，その秩序を乱す要素の1つが，心ないプレイヤーによってなされる不正行為である。講義では，主な不正行為として「チートツール」「BOT」「不正アクセス」の3つが説明された。

　オンラインゲームでチートツールを利用することの何がマズいのかというと，ツールを使わず普通に遊んでいるプレイヤーを不快にさせる点にある。チートツールを利用する側は罪の意識もなく軽い気持ちで遊んでいるのだが，不快な思いをさせられた側はゲーム自体に不満を持ち，ひいてはゲーム自体から離れてしまうことにもなりかねない。

「サドンアタック」のチートでは，障害物の向こう側が透けて見える「Wall Hack」など，ゲーム中で一方的に有利な立場になれるものが主流

　それではネクソンがどのようなチート対策を行っているかというと，チートツールの使用を不可能にするための定期的なプログラム更新，チートツールの利用履歴などを調査するデータ分析，そしてGMによるゲーム内巡回の3つである。
　とくにゲーム内巡回に関しては，漠然と行っていても効果が上がらないため，プレイヤーによるチート利用者の報告が重要となる。現在，ネクソンでは報告を受けてから現場到達で目視確認するまで10分以内に行うことを目標としているとのことである。

「サドンアタック」における2014年9月のアカウント停止件数も示された。不正（チート）ツール利用者は200人弱だが，ゲーム中に1人不正者がいるだけで，そこに参加しているほかの15人のプレイヤー全員が困るわけで，チートで不快な思いをしたプレイヤーは3000人以上に及ぶ可能性がある

「マビノギ英雄伝」に見られたBOT。専用ツールにより，キャラクターが決められた動作を行い，ゲーム内通貨やアイテムを収集する。それをRMT業者が回収し，現金化するというわけだ

　またBOTについては，ゲーム内通貨やアイテムを現金化するRMTと関連しているケースが多いとの説明がなされた。
　ネクソンではこうしたBOTに対して，上記のとおりゲーム内巡回のほか，ゲーム内通貨の動きをイメージ化し，不自然に集中しているポイントを探すようなデータ解析を行っているという。

　そして不正アクセスは，他人のアカウントを乗っ取り，主にそのアカウントが所有しているゲーム内通貨やアイテムなどを盗むために行われる。無論，盗んだ通貨などはRMTによって現金化されてしまう。
　ネクソンでは，不正アクセスについて，メール認証など認証プロセスの導入と，いつもと違うIPアドレスからログインを試行していないかどうか確認するIP分析，そしてワンタイムパスワード利用の推奨といった対策を行っている。

ネクソンに寄せられる不正アクセス被害者は，20代のプレイヤーが半数を占めているそうだ。とはいえ，これはネクソンのプレイヤー層に起因する結果であり，実際には年齢に関係なく不正アクセスの被害に遭う可能性があると言える

　とくにワンタイムパスワードに関しては，オンラインゲームを遊ぶ4Gamer読者であれば，その重要性をぜひ再確認してほしい。ネクソンによれば，2013年9月から2014年8月の間にあった，不正アクセスに関する問い合わせは3714件。このうち，実際に被害にあった人の中でワンタイムパスワードを利用していた人は1人もいなかったそうだ。
　しかしその効果の高さとは裏腹に，ワンタイムパスワードの普及率は低いという。今回の講義では，教室が満席になるほどの聴講者がいたのだが，そのうち7〜8割ほどの人は，「ネクソンのゲームをプレイしたことはあるか」という問いに挙手していた。さらにその約半数がワンタイムパスワードの存在を知っているとのことだったが，実際に利用していると答えたのは，10人に満たないという状況だったのだ。
　ワンタイムパスワードの導入は，確かに若干の手間はあるものの，アカウントを守るには非常に効果的。できれば利用するようにしたい。

　最後に瀬尾氏は，「不正行為をなくすためには，対策を取り続け，かつ顧客であるプレイヤーの声に耳を傾け続けるほかない」と話し，またプレイヤーが被害者にならないためには対策を十分に取ること，そして軽い気持ちで不正行為に手を出し，加害者にならないことを聴講者に呼びかけ，講義を締めくくった。

　なおネクソンでは，12月8日より，神奈川県警と連携して，ゲーム業界の不正行為に関する知識向上および不正行為者の取り締まりを目的とした「不正行為対策キャンペーン」を実施するとのことだ。