近年,Webサイトを狙うSQLインジェクション攻撃では,オンライン・ゲームのアカウントを盗むマルウエアを仕込むことが多い。これは,日本にオンライン・ゲーム市場を取り巻く一大経済圏ができているためと推測される。

 オークション・サイトにアクセスして,有名オンライン・ゲームのタイトルと「アカウント」という文字列で検索すると,オンライン・ゲームのアカウントが高額で出品されている状況を一覧できる(図1)。安いものは数千円から,高いものは数十万円の値段が付くこともある。オンライン・ゲームのアカウントにはかなりの市場価値があるのだ。

図1●オンライン・ゲーム・アカウントには価値がある<br>オークション・サイトに出品されているゲーム・アカウントの一例。数万~数十万円もの高値が付いていることがわかる。
図1●オンライン・ゲーム・アカウントには価値がある
オークション・サイトに出品されているゲーム・アカウントの一例。数万~数十万円もの高値が付いていることがわかる。
[画像のクリックで拡大表示]

 このように,オンライン・ゲーム内のアカウントやキャラクタ,アイテム,仮想通貨など,ゲーム上の財産を現実の通貨で売買する行為をRMT(real money trade)と呼ぶ。ゲーム好きだがプレイ時間が取れないプレーヤが,レベルの高いキャラクタや珍しいアイテムといった,“獲得するのにプレイ時間がかかる成果物”を現実世界の通貨で買うのだ。ゲームに飽きたプレーヤにとっては,ゲーム内の資産を売って,今までゲームに費やした時間を現金化できるというメリットがある。

 需要と供給の関係が成立したためか,インターネット上にはさまざまな形態のRMTサイトができて,盛んな取引が行われている。オークションだけでなく,RMT専門の業者サイトや,仲介サイト,掲示板などを通じた個人間取引など,形態は多様だ。

 オンライン・ゲームの世界では,RMT市場での利益を狙う行為も増えてきた。例えば,プレーヤの代わりにキャラクタを操作し,レベルを上げたり,アイテムや仮想通貨を稼いだりする「ボット」と呼ばれるプログラムが存在する。オンライン・ゲームのサーバーやクライアント・ソフトの欠陥を悪用して,自分の環境を有利に書き換える「チート」行為なども有名だ。

 ゲーム内で仮想資産を大量に稼ぎ,RMTによって現実の通貨に換金することを目的とした「ゴールドファーマ」と呼ばれるプレーヤも登場してきた。ゴールドファーマは,いかに効率よく仮想資産を手に入れるかを念頭に置いて組織的に活動するプレーヤで,主に中国などのユーザーが多い。日本円と自国の貨幣価値の差を利用して,大もうけできるというわけだ。

 ボットやチート,ゴールドファーマは,娯楽のためにオンライン・ゲームをする個人とはプレイ・スタイルが大きく異なり,ゲーム・バランスを崩してしまうことが問題となっている。そのため,日本のオンライン・ゲーム運営会社の多くは,こうした行為を取り締まると同時に, RMT自体を禁止している。RMT行為が発覚した場合,アカウント停止などの措置を取るのが一般的だ。しかし,現状では不正行為もRMTも後を絶たず,取り締りはいたちごっこになってしまっている感がある。

 SQLインジェクション攻撃を通じて仕込まれるマルウエアがオンライン・ゲームのアカウントを狙うのも,ボットやチート,ゴールドファーマと目指すところは同じだ。違うのは,ゴールドファーマなどの行為はオンライン・ゲーム世界で完結しているのに対して,SQLインジェクションを仕掛ける攻撃者は,マルウエアを使ってユーザーのクライアント・パソコンから仮想資産を不正に奪い取る点である(図2)。攻撃者は,奪取したRMTアカウントをRMTサイトで売りさばくだけではなく,SQLインジェクション攻撃時に不正に入手したクレジットカード情報をRMT市場で悪用するケースもある。

図2●RMTを悪用して利益を上げる仕組み<br>SQLインジェクションで不正に取得したユーザー情報やオンライン・ゲームのアカウントを悪用して金銭的利益を挙げる負のエコシステムができている。
図2●RMTを悪用して利益を上げる仕組み
SQLインジェクションで不正に取得したユーザー情報やオンライン・ゲームのアカウントを悪用して金銭的利益を挙げる負のエコシステムができている。
[画像のクリックで拡大表示]
松木 隆宏(まつき・たかひろ)
ラック サイバーリスク総合研究所 先端技術開発部
セキュリティ事業を手がけるラックの研究員。ぜい弱性検査,ネットワーク・セキュリティに関するコンサルティング業務を経て,現在ではマルウエア対策に関する研究開発に従事する。ソフトウエア開発者の視点からセキュリティを考え,安全なシステム開発手法を研究している。
この記事は,『日経コミュニケーション』2008年9月15日号 pp.50-55に掲載された内容に加筆・修正したものです。