米シマンテックは2010年5月26日、ウイルスによって盗まれたとみられるオンラインゲームのアカウント(ユーザー名とパスワード)4400万件が、あるサーバーに保管されていたことを明らかにした。さらに、保管されていたアカウントは、ある特定のウイルスによって、不正ログインが検出されにくい仕組みで有効性の自動検証が行われていたという。
サーバーに保管されていたのは、「ワールド・オブ・ウォークラフト」など複数のオンラインゲームのアカウント。これらのアカウントは、感染パソコンから情報を盗むウイルス「Infostealer.Gampass」などによって収集されたとみられる。
これらのアカウントは、売買目的で収集されたと考えられるが、一般に無効なアカウントが多く交った状態での売買は難しい。しかし、4400万件ものアカウントの有効性を人手でチェックするのは現実的ではない。また、チェックのために特定のIPアドレスから何度もログインしようとすると、不正なログイン操作だと判断されて、そのIPアドレスからアクセスできなくなる。
そこで攻撃者は、ある特定のウイルスを使って、アカウントの有効性を検証していたという。シマンテックが「Trojan.Loginck」と名付けたウイルスは、感染すると前述のサーバーからアカウントのリストをダウンロード。リストに記載されているアカウントでログインを試みる。
ログインに成功した場合には、アカウントが有効であることやログイン時刻をサーバーに通知。盗難アカウントのデータベースを更新する。同時に、ゲームキャラクターのレベルといったアカウントの詳細情報も通知する。
このウイルスは多数のパソコンに感染しているので、短時間で多数のアカウントを検証できる。加えて、それぞれが検証するアカウント数(ログインを試みる回数)は限られているため、不正なログイン操作であることを検出されにくいという。
該当サーバーに保管されているデータベースの容量はおよそ17Gバイト。18種類以上のオンラインゲームのアカウントが収められている。アカウントの価値は、ゲームの種類やキャラクターのレベルなどによって大きく異なる。例えばワールド・オブ・ウォークラフトでは、1アカウント当たり35ドルから2万8000ドルと幅があるという(図)。
