スパイウエア対策ソフト・ベンダーによると,日本と欧米ではスパイウエアの動向には違いがあるらしい。欧米ではアドウエアが主流であるのに対し,日本では取引用の個人情報などの不正取得(アカウント・ハッキング)を目的としたものが多いのだそうだ。ユーザーによるキー入力を盗み取るキー・ロガーが代表的である。

 最近,この手のマルウエアの被害が多発しているのがオンライン・ゲームである。背景には,RMT(リアル・マネー・トレード)の流行,電子マネーの普及,海外の犯罪組織の存在がある。犯罪者はオンライン・ゲームのユーザーから,ゲームのアカウント情報と合わせて電子マネーのアカウント情報を盗み取ろうとするのである。

 多くのオンライン・ゲームでは,参加費用の支払い,仮想通貨やアイテムの購入に,WebMoneyやBitCashといった電子マネーを利用できるようになっている。こうした電子マネー・サービスの中には,すぐに利用できる,容易に現金に戻せるといった点が特徴の個人アカウントを提供するものがあり,頻繁にゲームに参加するユーザーはこうしたアカウントを作成するケースが多い。犯罪者が狙うのはこのアカウント情報だ。

RMTは犯罪者にとっての「錬金術」

 オンライン・ゲームのユーザーから電子マネーのアカウントを不正入手した犯罪者は,電子マネーを使ってゲーム通貨やアイテムを買い漁り,業者に売りさばく(図1)。この,仮想通貨やアイテムを現実の金銭で売買する仕組みをRMTと呼ぶ。犯罪者はRMTを悪用し,電子マネーを使って購入したり正規ユーザーから強奪したりしたアイテムや仮想通貨を現金に換える。

図1●オンライン・ゲームではゲーム通貨やアイテムの不正な取引が目立つ
図1●オンライン・ゲームではゲーム通貨やアイテムの不正な取引が目立つ
[画像のクリックで拡大表示]

 犯罪者が電子マネーを狙う理由は二つある。一つは,オンライン・ゲームのユーザーの中には,電子マネーのアカウント情報として,ゲームと同じID/パスワードを登録して使うユーザーが多いことである。犯罪者にとってみれば,オンライン・ゲームのアカウント情報を入手すれば,ゲームに不正参加できるうえ,電子マネーも手に入れられる。

 もう一つは,電子マネーは匿名で利用できるため,足がつきにくいこと。購入者以外が不正利用しても,取引先は不正の有無を判断できない。このため犯罪者は,取引にあえて電子マネーを使う。

 重要なのは,これと同様の犯罪が,オンライン・ゲーム以外のネット社会でも十分起こり得ることである。電子マネーはオンライン・ゲームだけでなく,ECサイト,現実の店舗などでも利用が進んでいる。アカウント情報を盗む手口もいろいろで,危険は膨らんでいる。普段から注意していなければ,容易には防げない。

マルウエア利用を含め手口は3通り

 では,攻撃者は実際にどのような手口でアカウントを収集しているのか。当社で調査したところによると,犯行グループが行う手口は3通りに大別できる(図2)。(1)マルウエアなどの不正プログラムやクラッキングによるアカウント・ハッキング,(2)ソーシャル・エンジニアリングによる詐欺,(3)SQLインジェクションなどによるデータベース・ハッキングである。

図2●アカウント不正入手の方法
図2●アカウント不正入手の方法  [画像のクリックで拡大表示]

 中でも問題になっているのが(1)のScob攻撃と呼ばれる手口。これは,ユーザーを悪意あるコンテンツを含んだWebサイトに誘導し,マルウエアをインストールさせる,受動的攻撃である。2005年にカカクコムをはじめとする有名Webサイトが「リネージュ」のアカウント情報を詐取するマルウエアを埋め込まれた事件が類似する。

 実際に多く使われている悪性コードを含むHTMLコード(VBS.Psyme)の一部を示そう(図3)。HTMLの中にVBScriptが埋め込まれている。このコードには,別のサイトにトロイの木馬やキー・ロガーを取得しにいく命令が記述されている。

図3●悪質なコードを含むHTMLの例
図3●悪質なコードを含むHTMLの例

 最近では,ブログやSNSを用いたオンライン・ゲームのファン・サイトやRMT仲介業者を装ってアカウント情報を盗む犯罪者もいる。SNSの知り合いは信用されやすいという心理的トリックを悪用したものだ。これに関する資料としては,米インディアナ大学が興味深い実験結果を公開している

 この手口の進化形は,JavaScriptなどを利用したWebベースのマルウエアとクロスサイト・スクリプティングを組み合わせて実現する,ブラウザの乗っ取りだろう。攻撃者は,ユーザーのアカウント情報だけでなく,クッキー情報なども詐取できる。クレジットカード決済やインターネット・バンキングを使えばWeb上で電子マネーを購入できることを考えると,その脅威は計り知れない。しかも攻撃手法やセキュリティ製品回避技術の進化は著しく,今のウイルス対策ソフトなどでは防御は困難である。

 我々の調査では,過去に漏えいした情報は現在も引き続き悪用されていることが確認されている。特に,複数のWebサイトに同一のアカウントを使用している場合は要注意だ。犯罪組織は,膨大な量の情報を基に攻撃を仕掛けてくる。このような環境に置かれていることを認識し,可能な限りの対策を講じておかなければ,被害は電子マネーでは済まなくなるかもしれない。

岩井 博樹(いわい・ひろき)
ラック コンピュータセキュリティ研究所 所長
ラックのコンピュータセキュリティ研究所に勤務。IDS/IPS導入設計,コンサルティングなどに従事した後,同社のJapan Security Operation Center(JSOC)にて監視業務に携わる。現在は,セキュリティ技術の研究開発,フォレンジック業務を手掛ける。