Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

「ゲーム業界とセキュリティ業界が協力してマルウェア対策を」

ウェブルートの野々下幸治氏が講演

 ブロードバンド推進協議会(BBA)は23日、「アジア オンラインゲーム カンファレンス 2007 東京(AOGC 2007 Tokyo)」において、「オンラインのアカウントを狙ったトロイの木馬の現状」と題した講演を行なった。講演者は、BBAセキュリティ専門部会長であるウェブルート・ソフトウェアの野々下幸治テクニカルサポートディレクター。


アカウントの価値が高くなった

ウェブルートの野々下幸治氏
 野々下氏は冒頭、「アジア地域はゲームのアカウントを狙ったトロイの木馬が多い。ユーザーからアカウントを盗んで不正利用する例が目立ち、危機的状況だと思っている」と述べた。

 特に、他のユーザーのアカウントを使った“間接的”な金銭の搾取が多いという。例えば、盗んだアカウントをオークション詐欺に利用したり、第三者に販売するなど。オンラインゲームでは、RMT(リアルマネートレード)で悪用される場合もある。

 「日本の場合、ゲームのアカウントを盗んで他人のアイテムを取得するなどの趣味的要素が多いが、経済価値の低い国では、RMTなどの金銭目的が多い。インターネット上の経済活動が大きくなったことで、ネットの少ない収益だけでも生活できる人がいるためだ」(野々下氏)。

 また、ポータルサイトのアカウントが狙われる理由としては、「アカウントの役割が広がりつつあるため」と指摘。「メールを使うためだけにアカウントを持っていても、同じアカウントで他のサービスも使える。アカウントにいろいろな機能が集約され、利用価値が上がってきた」と説明した。


知らないうちに罠ページへ誘導されることも

 オンラインゲームやコミュニティのユーザーが狙われる理由としては、インターネットに接続している時間が長いことや、高性能PCでブロードバンド接続しているため、DDoSやスパム送信、ボットに利用しやすいこと、また、若年層が多く、セキュリティレベルが低いことなどを挙げた。

 オンラインゲームのアカウントを盗む手口としては、トロイの木馬が多く、特に最近は、まずダウンローダーのトロイに感染させてから、用途に合わせたマルウェアをインストールさせるケースが目立つという。また、オンラインゲームをターゲットにしたマルウェアの多くは、中国や台湾がホスティング元になっているとのことだ。

 野々下氏は、日本での感染経路についても説明した。最近は、罠ページへのリンクを掲示板に書き込む方法が多いという。例として挙げられた罠ページは、一見するとゲーム画面のキャプチャに見えるが、HTMLソースを開くと、iframeタグでマルウェアの仕込まれたページを読み込んでいることがわかる。また、悪意のない実在のページと組み合わせることで、罠ページへのアクセスを隠す方法もあるという。

 このほか、トロイの木馬に感染しているユーザーの作ったサイトが、罠ページにリンクされてしまう場合もあるという。ユーザーがサイトを開設する際に、トロイの木馬が罠ページへのリンクを含んだiframeタグを書き込む仕組みだ。このようなサイトを閲覧すると、例えば、脆弱性を悪用したトロイの木馬に感染し、そのトロイがダウンローダーとなり、さらに、オンラインゲームのアカウントを狙うマルウェアをインストールする。


罠ページの例、iframeで罠ページを読み込んでいる 実在するページと罠ページを組み合わせた例、下のframeが罠ページにリンクしている

トロイの木馬に感染したユーザーが作ったサイトのHTMLソース、枠内がトロイによって書き加えられた部分 トロイの木馬が書き加えた罠ページのURLでWeb検索した結果、ヒットしたサイトの開設者は感染している

ゲーム業界とセキュリティ業界の協力が必要

複数のセキュリティ対策ソフトでスキャンした結果

「ゲームベンダーとセキュリティベンダー双方での情報交換が必要」と話す野々下氏
 野々下氏は、ウイルス対策ソフトが必ずしもトロイの木馬を検知するとは限らないと指摘する。「ヒューリステックの精度を上げると誤検知する可能性が高くなる。メジャーベンダーにとって誤検知の影響は大きい。一方、マイナーなベンダーはシグネチャよりもヒューリステックを強化することが多い」という。

 野々下氏の挙げた例によると、複数のソフトで同時にスキャンした結果、メジャーベンダーのソフトほど、マルウェアを検知していなかった。ただし、「マイナーなベンダーの検知率が高いというわけではない。中には、ヒューリステックに頼りすぎて、ウイルスの検体を集めず、ちゃんとシグネチャを作らないところもある」と補足した。

 ユーザー側の有効な対策としては、「セキュリティパッチをきちんとあてる」「セキュリティ対策ソフトを使用する」「怪しいWebサイトは訪れない」「掲示板やブログのURLを容易にクリックしない」「ログインの履歴をチェックする」「Internet Explorer以外のブラウザを利用する」「制限ユーザーでインターネットに接続する」「パスワードの定期的な変更」を挙げた。

 一方、業者側の対策としては、「認証の強化」「ログインできるIPアドレスを限定する」「アクセス履歴をユーザーに提供する」「ユーザーに対するセキュリティの教育・啓蒙、およびセキュリティソフト導入の義務化」などを挙げた。野々下氏は、「特にアクセス履歴の提供はぜひやるべき。これにより、業者とユーザーで異常を察知できる」と述べた。

 最後に野々下氏は、「マルウェアは、かなり危機的な状況にある。マルウェアを作る側のコストよりも、守る側(ベンダー)のコストの方が圧倒的に高く、その差は大きく開いている。1つのベンダーがすべてのマルウェアに対応するのは難しい。これからは、オンラインゲームを提供する企業とセキュリティベンダーが協力していく必要がある」と語った。


関連情報

URL
  AOGC 2007 Tokyo
  http://www.bbassociation.org/AOGC2007/
  ブロードバンド推進協議会
  http://www.bbassociation.org/bba/

関連記事
組織ビジネス化するオンラインゲームへの攻撃、包括的な対策が必要(2006/06/06)


( 野津 誠 )
2007/02/26 14:02

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.