［AOGC2007＃10］スパイウェア対策ソフトのウェブルート 野々下氏が語る，ゲームアカウントを狙うトロイの木馬

ウェブルート・ソフトウェア テクニカルサポートディレクター 野々下幸治氏

　スパイウェア対策ソフト「スパイ スウィーパー」シリーズで知られるウェブルート・ソフトウェア。そのテクニカルサポートディレクターである野々下幸治氏は，ブロードバンド推進協議会（BBA）のセキュリティ専門部会長でもある。
　そうしたきっかけで今回，BBA主催のカンファレンスである「Asia Online Game Conference 2007 Tokyo」（AOGC 2007）で講演することになった野々下氏だが，彼が語るのはオンラインゲームのアカウントを盗み出すトロイの木馬についてだ。
　プレイヤー，事業者はそれぞれどんなことに気をつけるべきなのか，講演予定内容の骨子をインタビューを通してお届けしよう。



■ゲームを狙う不正ソフトはゲームの外から来る

4Gamer：
　本日はよろしくお願いします。野々下さんがAOGCで講演するのは初めてですよね。どういった経緯で，セッションを持つことになったのでしょうか？

ウェブルート・ソフトウェア テクニカルサポートディレクター 野々下幸治氏：
　実は，ブロードバンド推進協議会（BBA） セキュリティ専門部会の部会長を務めさせていただいているのですが，先日オンラインゲーム専門部会の方とお話しする機会がありました。
　そのときに私が「日本ではオンラインゲームを狙ったトロイの木馬がすごく多い」というお話をしたこともあり，ぜひAOGCのなかで，それに関連した話をしてはもらえないかという依頼があったのです。

4Gamer：
　なるほど，BBA内でのお話からですか。では，そういった経緯で実現の運びとなった講演の，大まかな内容を教えてください。

野々下氏：
　現在日本で見られるトロイの木馬の例としては，オンラインゲームを狙ったものが多いという事実があります。その実態，つまりどのような形で蔓延していて，どんな危険があるのかなどを解説していきます。

4Gamer：
　ゲームを狙ったものが多いというお話ですが，例えばトロイの木馬全体の中での割合や，何種類あるのかといった数周りについて教えていただけますか？

野々下氏：
　私も明確な数は把握していないのですが，2005年くらいから急激に増えているのは明らかな傾向といえます。この現象は日本に限ったことではありません。オンラインサービスを狙うクラックツール，トロイの木馬といったものの展開はグローバルなもので，世界中で同時展開しています。

4Gamer：
　ふむふむ，日本での蔓延状況も世界的な流れのなかにあると。

野々下氏：
　ええ。例えば最近，スーパーボウルのWebサイトにトロイの木馬が仕掛けられたという事件がありましたが，日本でもまさにこれと同じ手口が見られました。
　また，試しにトロイの木馬が仕込まれたホスティング先のURL文字列をサーチエンジンで検索してみると，日本語のサイトが大量にリストアップされるはずです。掲示板に直接リンクが書き込まれている例も，同じように多く見つかります。

4Gamer：
　「ホスティング先」という言葉が出てきましたが，トロイの木馬が置かれている，よく知られたURLというものがあるのですか？

野々下氏：
　そうです。トロイの木馬は実際のところ，中国の特定のサイトに置かれていることが多いのです。そのサイトのドメイン名をサーチエンジンで探すと，日本語のサイトもたくさん見つかります。
　そしてその多くは，トロイの木馬を広く感染させようとする人が，掲示板やblogに書き込んだものです。

4Gamer：
　確かに，それと思しき記述はしばしば目にしますね。

野々下氏：
　その具体的なやり方としてよくあるのが「罠サイト」です。何が罠かといいますと，使っているWebブラウザにセキュリティホールがあると，そのサイトを訪れただけでトロイの木馬を仕込まれてしまいます。
　一見，ゲームの画像が貼られているだけに見えるサイトでも，裏側で感染させるためのページを読み込んでいるのです。

4Gamer：
　Webブラウザを制御できるスクリプトが書かれているわけですか。

野々下氏：
　はい。VBスクリプトが最も広く使われています。JAVAスクリプトを使ったものもありますが，ゲーム関係ではVBスクリプトを使ったものが圧倒的に多いです。

4Gamer：
　そこで，Webブラウザ側の条件によっては，感染を許してしまうと。

野々下氏：
　ええ。本来スクリプトを実行しても，システムのエリアにWebブラウザがいろいろなプログラムを書き込んだり，レジストリを改変したりといったことはあり得ないんですけれども，スクリプトがWebブラウザの脆弱性を悪用していまして，その脆弱性に対策をとっていないWebブラウザを使っていると，仕込まれてしまいます。

4Gamer：
　うーん，なるほど。

野々下氏：
　（コードを示しながら）デコードしたスクリプトの先頭にexeファイルの名前が書き込まれていまして，それをダウンロードするようになっています。
　また，感染した人がWebサイトのオーナーだった場合，持っているhtmlファイルすべてにこういったスクリプトが書き込まれてしまい，次の感染を誘う形になることもあります。

4Gamer：
　同じPCの中にあるhtmlファイルすべてですか？

野々下氏：
　はい。すべて改ざんします。それがアップロードされ，公開されると同じように感染源となってしまいます。

htmlに書き込まれた罠スクリプトの例（左）と，罠ページの例（右）

■ゲームアカウントをクラックするトロイの木馬

4Gamer：
　ふーむ。ここまでのお話はWebサイト/htmlに終始していますが，AOGCのテーマはオンラインゲームです。ゲームに関わってくるのは主として感染経路のお話ですか，それともトロイの木馬の挙動のほうでしょうか？

野々下氏：
　ゲームとの関わりとしてお話しするのは，主として挙動のほうです。トロイの木馬に感染することで，ゲームのアカウント情報を盗み出されてしまいます。そこからの二次的被害として，不正が行われるわけです。

4Gamer：
　アカウントハックの手段というわけですね。

野々下氏：
　ですから，トロイの木馬のコード自体が，ゲームやゲームに関するサイトの運営者に直接被害を及ぼすことはないんですけれども，奪われたアカウントが二次利用されるということです。

4Gamer：
　トロイの木馬が実際に機能したときに，そのPCに保存されたアカウント情報がハックされる，と。

野々下氏：
　そうです。ゲームプレイヤーの場合，そのゲームにログインした時点で，アカウントの情報を取られてしまいます。
　ですから，そうしたアカウントハック用のトロイの木馬を仕込むスクリプトは，ゲーマーが集まるであろうサイトに仕掛けられることが多いのです。

4Gamer：
　狙いどころも定まっているわけですか。

野々下氏：
　あるいは，ゲームに関係したサイトへのリンクであるように装って掲示板に書き込み，リンク先を閲覧させようとします。

4Gamer：
　掲示板への記述としては，確かによくあるパターンですね。

野々下氏：
　ええ。そして問題なのは，訪れた瞬間に感染してしまい，訪れた人自身はそれに気付かないというところです。単なるexeファイルへのリンクであれば，その人がダウンロード/実行しない限り感染しませんが，罠サイトの場合まったく分からないわけです。

4Gamer：
　なるほど……。オンラインゲームのアカウントハックを狙ったものなのに，侵入経路はただの掲示板ないしWebサイトということもあるわけですか。

野々下氏：
　そうです。

4Gamer：
　掲示板から入ってきて，実際に悪さをするのはゲームにログインしたときだというのは，普通想像していないだけに警戒しづらいですね。

野々下氏：
　そして，先ほど述べたとおり罠サイトでホスティングされているサイトの所在地は，圧倒的に中国と台湾に集中しています。

4Gamer：
　.cnだったり，.com.twだったりですか。

野々下氏：
　いえ，ドメイン名が.comだったとしても，そのマシンがあるのが中国や台湾ということです。

4Gamer：
　なるほど……。いや，AOGCでオンラインゲームをターゲットとしたクラックの講演をすると聞いていましたので，てっきり不正ツールに潜んでいるトロイの木馬といった話題が中心になるのかと思っていましたが，必ずしもそういったお話ではないのですね。

野々下氏：
　ええ。当然不正ツールも危ないのですが，そこでは使用しようとする人が自らexeファイルを実行しています。そうではなくて，Webサイトを訪れただけでも，感染することが十分あり得るということなんですね。

4Gamer：
　うーん，分かりにくさではそちらのほうが厄介かもしれません。

野々下氏：
　はい。そう言えると思います。

4Gamer：
　ゲームハックツールを使う人というのは――こういう言い方をするのもどうかとは思いますが――まだしもある程度，そうした危険を想定していることが多いのでしょうけれども。

野々下氏：
　それに対して，ゲームハックツールを使おうなどと思っていないプレイヤーさんは，とくに危険を意識していません。そうした人のPCにも感染してしまう可能性が，すごく高いわけです。

掲示板に直接書き込まれたトロイの木馬へのリンク（左）と，罠サイトへのリンクの例（右）

■ログイン履歴の確認など，基本が重要

4Gamer：
　ところで，トロイの木馬でアカウント情報が盗まれるのを，クライアントソフトの工夫で防ぐことは可能なのでしょうか？

野々下氏：
　トロイの木馬に限って言えば，クライアントソフトのプログラミングを工夫しても，あまり効果は期待できません。

4Gamer：
　クライアントプログラムでどうにもできないというのは，トロイの木馬はキーロギング（キー入力追跡）といった，ローレベルの方法を使っているということですか？

野々下氏：
　そうです。利用者によるキー入力がある以上，完全に防ぐのは無理だと思います。クライアントPCから情報が盗まれるのを防ぐのは，非常に難しいのです。
　むしろサイト/オンラインサービスの運営者は，暗証番号カードなどを併用した2要素認証の導入に努めたりするほうが現実的ですね。また，ログイン可能なIPアドレスを限定するのも一つの手です。日本国内向けサービスなら，日本国内からしかアクセスできないようにするとか。
　ただしIP制限の場合，プロキシー，中継サーバー経由でアクセスされる可能性はありますから，本格的なクラッキングに対しては，あまり有効ではありません。

4Gamer：
　ふむふむ，前者についてはすでに取り組んでいる事業者さんもいますね。

野々下氏：
　それと，基本的でありながらあらためて重要性を強調しておきたいのが，アクセス履歴をきちんと利用者に提供することです。過去10回分のアクセス履歴を，利用者が簡単に見られるようにするとか。

4Gamer：
　なるほど。その前にいつごろログインしたかといった情報をすぐ見られるようにすると。

野々下氏：
　そうです。利用者自らに気付いてもらうわけです。

4Gamer：
　確かにシンプルな話ながら大切なところですね，そこは。

野々下氏：
　あとはもちろん，利用者のセキュリティ意識向上を図ること，ソフトウェアのアップデートを欠かさないよう呼びかけること，などですね。
　それから，これはできれば，というレベルになりますが，利用者の異常行動の検知が可能なら，サイト/サービス側でアカウントハッキングを見つけられます。特定の時間にしか使っていなかった人が，いきなりまったく違う時間帯に使い出すとか。アクセス履歴の情報と組み合わせることで，ある程度検知できます。



■対策ソフトでも新種はなかなか検知できない

4Gamer：
　では，今度は事業者さんでなく，利用者の立場に立ってのお話となりますが，そもそも利用者側で，なんらかの徴候から感染に気付くことはできるのでしょうか？

野々下氏：
　まずもって，難しいと思いますね。

4Gamer：
　ごく短いスクリプトや小さなプログラムで済むとすると，PCの挙動もほとんど変わらないですよね，おそらく。そうなるともう，セキュリティツールに頼るしかないことになりますか。

野々下氏：
　ええ。ただし現状では，新しい型のトロイの木馬や罠スクリプトが登場したときに，そもそも対応しているかどうか，かなり難しいところです。
　実際に複数のウイルス対策ソフトで，新種のスクリプトを検知できるかどうかを確かめたりすると，ほとんどの製品をくぐり抜けてしまうのです。
　この場合，いくつかのマイナーな製品が検知していたりしますが，これはシグネチャ（いわゆるパターンファイルのこと）でなく，ヒューリスティックと呼ばれる方式で検出しているからです。ですから，ウイルス対策ソフトを入れているからといって，安心できるものでもないのです。

4Gamer：
　う，うーん。困った問題ですね。ヒューリスティックというのは，プログラムの挙動を見るという理解で正しいですか？

野々下氏：
　そうです。プログラムの中の特定のコード，例えばパッカーが使われていることが多いですから，そうしたものの動作を見て，検知しています。
　ここでいうパッカーとは，実行ファイルを圧縮した形で動作させる仕組みのことです。そうした圧縮プログラムを使っている場合は，マルウェア（良からぬことをするソフトウェア）である可能性が高いと判断して，結果を表示するウイルス対策ソフトがあるのです。

4Gamer：
　ちなみに，そこでパッカーが使われるのは，exeファイルのそもそもの挙動を見づらくするためですか？

野々下氏：
　はい。ファイルサイズをコンパクトにするというよりも，どちらかというとプログラムの挙動を捉まれづらくするのが目的です。

4Gamer：
　そうしたメジャーな“隠し立て”に注目しているウイルス対策ソフトであれば，たまさか検知してくれることもあるかもしれない。ただし，いずれにせよ既知のプログラム/スクリプトでない限り，確実を期すことはできないと。
　セキュリティツールメーカーさんというのは，新種のプログラム/スクリプトを個々の掲示板などで採集しているのですか？

野々下氏：
　それが，ものすごく種類が多いうえに広くばらまかれていますので，難しいのです。ですから，少し古めのプログラム/スクリプトであっても，対応しているセキュリティツールと対応していないセキュリティツールが出てきてしまいます。

4Gamer：
　うむむむ。

野々下氏：
　一つ特徴的なこととして指摘できるのは，これはアジアに集中している現象なんですね。ですので，アジア地域への対応に注力しているところの製品では，定義ファイルの中に入れていたりしますが，グローバルにやっているけどあまりアジアに注力していないといったところの製品は，それほど見ていないことがあります。

4Gamer：
　ああ，なるほど。先ほど出てきた中国と台湾にサーバーが集中しているという事実から，必然的に出てくる問題だと。

野々下氏：
　そのとおりです。

左の資料は，不正プログラム/スクリプトを複数のセキュリティツールでチェックしたところ。検出されない場合も多い

■ゲームアカウントハックは，ローリスクな稼業？

4Gamer：
　だとすると利用者側，ゲームプレイヤー側はいったいどうすべきなんでしょうか？

野々下氏：
　まずはそれでも，ウイルス対策ソフトは入れるべきだと思います。少なくとも，過去のものはある程度防げますので。
　一番重要なのは，セキュリティパッチです。これは確実に当てるべきです。多くのクラックツールはOSやWebブラウザの脆弱性を狙ってきますから，セキュリティパッチをきちんと当てれば，ほとんど防げます。

4Gamer：
　ふむふむ。これまた基本が重要なわけですね。

野々下氏：
　それから，あくまで現時点でのお話ですが，Internet Explorer以外のWebブラウザを使うと，より安全です。現在はVBスクリプトを使ったクラックツールが多く，Internet Explorerの脆弱性を狙うものも多いからです。

4Gamer：
　セキュリティをめぐっては，よく出てくるパラドックスの典型ですね。メジャーなものほど危険という。対策もマメに施されるけれども，やはり狙われる頻度が違うと。

野々下氏：
　パスワードの定期的な変更も，よく言われますがきちんと意味があります。クラックされたアカウントがすぐに使われるとは限らないからです。盗み出した側が使おうとしたときに無効になっていれば，被害を未然に防げますから。
　それと，先ほど事業者さん側の論点としても出てきたログイン履歴のお話ですが，これをきちんとチェックすることです。現状でゲームサービス事業者さんが，ログイン履歴を簡単に見られるようにしているかどうか，私のほうでは把握していないのですが，これからはセキュリティ上とくに重要になると思います。

4Gamer：
　ここまで，ゲームのアカウント/パスワードが盗まれることを主たる話題としてきましたが，例えばクレジットカードの認証情報が直接盗まれる危険は，日本でも高いのでしょうか？

野々下氏：
　今回の講演ではアカウントハックにフォーカスしていますが，そうしたものももちろん存在します。ただし，日本における現状としてはアカウントハックが圧倒的に多く，クレジットカード番号のほうはかなり少ないですね。

4Gamer：
　それはどうしてでしょうか？

野々下氏：
　一つには，リスクの違いがあると思います。クレジットカード番号となると警察もすぐに動きますから。それに比べてアカウントハックは，やる側のリスクが低いという部分があります。
　全体的に見ていて，低いリスクで効果のあることがあれば，まずはそこに着手する。そういうことだと理解しています。

4Gamer：
　なるほど，そうした理由ですか。

野々下氏：
　先ほど，オンラインゲームのアカウントハックはアジアに多いというお話をしましたが，それに対して東ヨーロッパではアフィリエイトをターゲットとした不正リンクが多いのです。

4Gamer：
　クリックするとお金が入ったりする，昨今の宣伝/誘導手段であるアフィリエイトで，ですか。

野々下氏：
　そうです。そうしたアフィリエイト手法のなかには，マーケティングの行きすぎと評すべきか，プログラムをインストールしたらお金を払いましょうというタイプがあるのです。
　そうすると，悪いことを考える人はそこで払われるお金欲しさに，トロイの木馬を使ってインストールさせるのです。

4Gamer：
　不正な手法だろうが何だろうが，インストールベースを増やそうとするわけですね。その場合，インストールさせるのに使うプログラム/スクリプトはどんなものなんでしょうか？

野々下氏：
　ゲームのアカウントハッキングに使われるトロイの木馬と，ほとんど同じようにして仕込まれます。「動画を見たい場合，CODECファイルをインストールしてください」といった形で，偽ってトロイの木馬をインストールさせます。ちょうど，オンラインゲーム用の不正ツールの場合と似ていますね。

4Gamer：
　ただ，東ヨーロッパでアフィリエイトと聞くと，若干意外な気もしますね。

野々下氏：
　アフィリエイトを実施している業者は，北米にあることが多いですね。RMTが中国で多いのと同じだと思いますが，不正なビジネスでお金を稼いでも，金額的には小さいので，例えば日本で暮らしていけるだけのレベルにはなかなか達しません。
　アフィリエイトの場合でも，金額的にはすごく小さいものなので，アメリカ人がそれで暮らしていくのは難しいです。ですが，東ヨーロッパなどで貨幣価値がかなり違う国ですと，それで十分にビジネスが成り立ってしまうのです。それで，先ほど述べたようなことが起きているのだと思います。

4Gamer：
　動機となるものの大きさが，我々の生活感覚とは離れたところにあると。小さな額でもせしめる価値があるわけですね。

野々下氏：
　背景にあるのはもう一つ，エンジニアの需要の問題です。東ヨーロッパでコンピュータサイエンスの学位を取って卒業したとしても，良い就職先がない場合があり得る。これはひょっとしたら，中国などにも当てはまるかもしれませんが。

4Gamer：
　ええ，中国のRMT/ゴールドファーミングやキャラクター育成代行ビジネスの背景には，まさしく高学歴の就職難があるといわれていますね。

野々下氏：
　インターネットはグローバルに展開していますから，貨幣価値の大きく異なる国同士もつながっています。貨幣価値の高い国の人がオンラインゲームをプレイし，貨幣価値の低い国の人がRMTでちょっとしたお金をかすめる。そういった構図が成り立っているのです。

4Gamer：
　なんというべきか……。産業の垂直分業とはまた別の形で，経済圏間格差が機能してしまうのですね。

野々下氏：
　ですから，例えば「Second Life」などもグローバルに展開していくわけですが，これなどはRMTを認めているものの，それとは別に問題がいろいろ出てくる可能性もあります。

4Gamer：
　ゲーム内アイテムなどの売買は別に問題ないとしても，詐欺事件などは普通に起き得るということですね。

アフィリエイトが悪用される例（左）と，「Second Life」内ですでに起こっている詐欺の話題（右）

■セキュリティベンダーと協力していくには

4Gamer：
　ところで，セキュリティベンダーさんが対策を進めていく場合，ゲームサービスの実際の利用者たるプレイヤーさんなり，ゲーム事業者さんなりが，そこに協力していくことは可能なのでしょうか？

野々下氏：
　可能だと思います。一つは，ゲーム事業者さんやプレイヤーさんは，プレイヤーさんがよく訪れるサイトのことをよく知っていますし，常にそういったところを見ているわけですから。
　ところが，我々セキュリティベンダーはそうではない。なので，訪れている人達が情報を集めてセキュリティベンダーに投げるといったことをしていけば，かなりきちんと対応できるようになると思います。

4Gamer：
　では現時点で，事業者さんやゲームプレイヤーの人と，なんらかの情報交換の場を持っていますか？

野々下氏：
　いいえ。いまはそうした動きをとれていません。そもそもBBA オンラインゲーム専門部会の人と話をしたのは，一緒に何かできないだろうか，という意味だったのです。

4Gamer：
　ああ，なるほど。まさにそうした経緯でしたか。

野々下氏：
　この問題に対して一緒に取り組めれば，それが望ましいのではないかということです。

4Gamer：
　ふむふむ，情報集約の面で協力し合えればということですね。しかし，それが成り立ったとして，次に考えなければならないのは，ゲーム関連の情報にもグレーゾーンやアンダーグラウンド部分があるという事実ですね。知ってるし，使っているけど，その情報を声高に語るわけにはいかないものもあるという。

野々下氏：
　ええ。ただ，そうした問題がとくにない部分をカバーするだけで，大多数のゲームプレイヤーにとってメリットになると思うのです。いま問題なのは広く一般のゲームプレイヤーが脅威にさらされていることなので，まずはそこをきちんとやっていきましょう，ということです。
　その次の段階で，アンダーグラウンド領域のことを考えればよい。さしあたりそう捉えています。

4Gamer：
　そうですね。いきなり全部を課題と考えなくても，理論上取り組める部分のほうが大きいのは確かです。

野々下氏：
　そうした取り組みを進めることによって「いろいろな不安があるからオンラインゲームをプレイするのはやめておこう」といった話に，ならないで済むと思うのです。特殊なことをやろうとする人が被害者になるリスクというのは，とりあえず別の話かと。

4Gamer：
　であるならば，まずはメジャーな情報サイトや掲示板といった場所を，チェックしていくことが重要と。では，事業者さんの開発部分との連携で，セキュリティベンダーさんに果たせる仕事といったものは考えられますか？

野々下氏：
　十分考えられると思います。クライアントプログラムにセキュリティツールの機能を組み込んで，ゲームの外側から来る脅威にも備えるとか，そのPCのセキュリティパッチ導入状況を調べるとか，ですね。

4Gamer：
　では最後に，AOGC 2007に足を運んでくれる人に向けて，講演内容の端的なアピールをお願いできますか。

野々下氏：
　日本ではいま，オンラインゲームのアカウントを狙う不正プログラム/スクリプトが，かなり広く出回りつつあります。この現状を知っていただいて，自分のプレイ環境を守るにはどうしたらよいか，あるいは，どうやったら自分の顧客を守ることができるか，その手立ての参考になればと思います。

4Gamer：
本日はありがとうございました。



　ゲームのアカウント/パスワードをクラックするトロイの木馬は，日本でも感染例が増えており，条件次第では単なるWebサイトの閲覧で仕込まれる危険があるという。ゲームプレイとまったく関係ないところだからといって，ゲーマーにとって安全とは言い難いようだ。
　ゲーマー自身が被害を防ぐ手立ては，セキュリティパッチの確実な適用や，パスワードの定期的な変更など，ゲームサービスに限らないものではある。その一方で，セキュリティベンダーにとっての課題は，ゲーマーが立ち回るサイトの把握，つまりゲーム業界をよく知ることにある。そしてこの分野での情報集約につながるリーダーシップが，いまゲーム業界自身に期待されているのだ。
　中国や東ヨーロッパでのクラックツール事情を含め，豊富な実例を含む話題が展開される講演は，二日目の23日第6講，15：50〜16：50の「B12」だ。（Guevarista）

（※2007年2月20日収録）