JOGAとJSSECが共催したセミナー「スマートフォン・オンラインゲームのセキュリティを考える」の聴講レポートを掲載

　2011年11月17日，日本オンラインゲーム協会（JOGA）および日本スマートフォンセキュリティフォーラム（JSSEC）は，セミナー「スマートフォン・オンラインゲームのセキュリティを考える」を，東京都内で開催した。
　このセミナーは，スマートフォン/タブレット用ゲームコンテンツの増加が予想される昨今，オンラインゲーム業界とスマートフォンセキュリティ団体の会員同士がお互いの知識や情報を交換することで，スマートフォンユーザーがゲームを楽しむうえでの，セキュリティリスクの回避・軽減に貢献することを目的として企画された。
　本記事では，同セミナーの中からPCオンラインゲームに関係のあるセッションの模様を抜粋してレポートしよう。

NHN Japan 泉原氏がハンゲームなど同社サービスのセキュリティ対策を披露

NHN Japan 取締役 泉原克人氏

　NHN Japanの取締役である泉原克人氏は，「PCオンラインゲーム，スマートフォンゲームにおけるハッキングとセキュリティの現状」と題したセッションにて，同社のゲームコンテンツにおけるセキュリティ対策への取り組みを説明した。
　泉原氏は，最初にスマートフォンをPCとモバイル端末の特性を兼ね備えた，“真にパーソナルなコンピュータ”であると定義付け，コンピュータでありながら電話番号をはじめとする個人情報が集積され，また位置情報を発信できるなど，極めて身近な存在になっていると述べた。

　そうした特性を持つスマートフォンには，PCとしてハッキングされるリスクと，モバイル端末としてのプライバシーに関するリスクの双方が存在し，さらには，これらが互いに影響しあう可能性もある。

　泉原氏は，スマートフォンのハッキングリスクについて，PCと同様のものが生ずる可能性があると指摘し，続けてこれまでNHN Japanがハンゲームのオンラインゲームをサービスしてきた中で遭遇したハッキングの事例と，その対処法などを披露した。

　まず泉原氏は，さまざまなハッキングの背景にある事象としてRMT（リアルマネートレード）を挙げた。あらためて説明しておくと，RMTとはゲーム内の通貨やアイテムを公式サイトの外部で現金取引することを指し，多くの場合，オンラインゲームパブリッシャが設ける規約により禁止されている。
　次に泉原氏は，RMTを目的に引き起こされるハッキングの例としてチート行為，BOT，アカウントの盗用，クレジットカードの不正利用を挙げた。
　とくに昨今では，ほかのインターネットサービスから流出したアカウントIDとパスワードを使って，短時間に大量のログインを試みる「ブルートフォースアタック」によって，アカウントが盗用される例が増えている。

　泉原氏は，今後，スマートフォンでのゲームコンテンツビジネスが拡大していくにあたり，上記のハッキングリスクを回避・軽減し，顧客の信頼を長期的に得るためには，“顧客の情報と資産を安全に管理すること”“不正なサービスの利用を防ぐこと”の2点が重要であると述べる。そして，サービスのどこに脆弱性があるのかを把握し，一つ一つ対策を打っていくことを続けていくほかないとまとめた。

　スマートフォンのプライバシーリスクについて，泉原氏は，NHN Japanで展開している各種のサービスにて，顧客の個人情報や位置情報を許諾を得ながら利用していることを挙げた。そうすることによって，デバイスの特性を活かしたサービスの価値を高めることができると説明した。
　またその過程において，利便性とプライバシーのバランスを図る必要があると泉原氏は述べる。これはサービス価値を高めていくという動きと，どのような顧客情報を何のために使うのかということを明示することで，プライバシーリスクを最小化することの両立を図るというものだ。泉原氏は“情報格差の解消”“サービスにおける透明性の確保”により，パブリッシャと顧客との認識のギャップをなくす努力を続ける必要があると述べた。

会場では，NHN Japanグループのセキュリティへの取り組みも紹介された

低年齢向けのセキュリティガイドや，ワンタイムパスワードのようなソリューションを用意し，顧客のセキュリティに対する意識を高めている

　泉原氏は，パブリッシャがセキュリティレベルを上げていくと同時に，顧客に対しても啓蒙活動を行い，セキュリティに対するリテラシーを高めていく努力をしなければならないと述べる。そして，それらを実現することで初めて，優れたコンテンツとコミュニケーションプラットフォームの提供が可能となり，豊かなライフスタイルを実現できるのではないかとして，セッションを締めくくった。

ワンタイムパスワード利用者の被害をゼロに抑えた「JOGAセキュリティシステム」とは

　サードネットワークスの代表取締役社長である雨宮正明氏は，「オンラインゲーム，スマートフォンゲームのJOGAセキュリティシステムについて」と題したセッションにて，同社が提供する「JOGAセキュリティシステム」のサービスの概要などを紹介した。

　雨宮氏は，同システムをアカウントハッキングの防止を目的とするものであると説明し，その開発の背景を2つの観点から説明した。

　まず社会的な背景としては，2008〜2009年にかけて警察に提出されたアカウントハッキングの被害届けが，急増したことが挙げられた。これにより，警察庁からJOGAに対して，PC上での本人確認と安全なID/パスワードが発行できるシステムの実現が要請されたのである。
　またその一方で，2009年6月にJOGA会員企業に向けて行ったアンケートにより，会員の100％がアカウントハッキング行為を受けており，また80％がサーバーへの不正アクセス，87％が不正課金といった被害を被っていることが判明し，共通した認証・セキュリティシステムを求める声が高まった。

　現状，アカウントハッキングは，上記のとおりブルートフォースアタック──すなわち，アカウントIDとパスワードをリスト化し，一斉にログインを試みる手法が猛威を振るっている。その対策として，パスワードの強制変更が行われているが，再度被害に遭うアカウントが続出しているとのことだ。雨宮氏はパブリッシャとユーザーとの連絡手段（メールなど）にも，何らかのアタックがあるのではないかとの見解を示し，もはや固定ID/パスワード制のシステムには限界がきていると表現した。

　次に雨宮氏は，セキュリティ強化の必要性を経営の観点から説明する。まずアカウントハッキングによるゲーム内資産の乗っ取りは，優良ユーザーのゲーム離れを引き起こし，売上の減少に繋がる。またそうした被害の補填によるコストの増大も避けられない。さらに，偽造クレジットカードによって不正決済が行われるケースでは，売掛金が回収できないというリスクも発生するのである。
　これらの可能性を踏まえ，雨宮氏は，強固なセキュリティと連携した決済システムと，セキュリティが破られたときの補償が必要であるとまとめた。

　そうした背景やニーズを踏まえ，企画・開発されたのがJOGAセキュリティシステムであり，雨宮氏はその特徴を説明する。
　まず共通認証基盤を確立することで，パブリッシャ各社のコストを軽減するだけではなく，さまざまなパブリッシャのサービスを利用する，ユーザーの負担も軽減することになる。


　次に挙げられたのは，フィーチャーフォン/スマートフォンを認証トークンとする，ワンタイムパスワード認証を行うことで，認証時にかかるコストをなくしていることだ。なお，このシステムでは専用のトークンを使うこともできるが，その販売はamazonを介して行われており，各パブリッシャが引き取りや在庫などのリスクを負う必要はない。
　また，JOGAセキュリティシステムの欠陥に起因するアカウントハッキング被害に関しては年間10億円までの補償がなされる。

　雨宮氏によれば，JOGAセキュリティシステムを導入した企業において，ワンタイムパスワードを利用しているユーザーのアカウントハック被害はこれまで1件もないとのことである。
　なお，このシステムにおいて，ワンタイムパスワードの入力を誤るなど連続でゲームへのログインに失敗した場合には，そのアカウントが一時的にロックされる。本人認証手続きなどの対応は，専用のソリューションサーバーで24時間体制で行わるため，各パブリッシャには負担が掛からず，ユーザーは通常2〜3時間でゲームに復帰できるそうだ。

　さらに雨宮氏は，JOGAセキュリティシステムの今後の課題を挙げる。1つは警察庁や監督官庁との連携であり，もう一方は業界団体/各パブリッシャの啓蒙活動による，ユーザーのセキュリティリテラシーの向上である。
　そしてシステムの改善として，ワンタイムパスワード入力の手間をなくすような仕組み作りを挙げた。これは，今後スマートフォンでのゲームコンテンツの需要が拡大するにあたり，ゲームプラットフォームとトークンの機能が，1つのスマートフォンで共有してしまうと，操作が煩雑になってしまうことを踏まえた試みとのことである。

　最後に雨宮氏は，認証・セキュリティシステムも大事ではあるが，本当に重要なのは認証後に提供されるサービスとの連携であり，それに向けて努力をしていると述べてセッションを締めくくった。