CodeIQ MAGAZINECodeIQ MAGAZINE

ゲーム業界から学ぶ!今取り組むべきセキュリティ対策のホントのところとは?

2017.12.25 Category:勉強会・イベント Tag: , ,

  • 18
  • このエントリーをはてなブックマークに追加

アカマイ・テクノロジーズ合同会社が年に一回、開催している「Akamai Egde Japan」では、クラウド、フィンテック、セキュリティなどさまざまなテーマでセッションが行われた。
その中から、ここでは「ゲーム業界から学ぶ!今取り組むべきセキュリティ対策とは」と題したセッションを紹介したい。
by 大内 孝子

ゲームにつきもの、”チート”対策

「ゲーム業界から学ぶ」ということで、今回の登壇者はセキュリティの現場にいるエンジニア、インフラエンジニアの面々。

モデレーターの辻伸弘さんは侵入テストの専門家で、記事や書籍だけではなく、Twitter(@ntsuji)、ブログなどでセキュリティ関連の情報を発信している。

ソフトバンク・テクノロジー株式会社 プリンシパルセキュリティリサーチャー 辻 伸弘さん

ポケモンの関剛さんはアプリやゲーム、プロモーションサイト、社内ITシステムなどを管理するインフラエンジニア、実際にはパートナー企業と連携して業務に携わる。グリーの奥村祐則さん、ディー・エヌ・エーの汐田徹也さんは長くセキュリティの専門部署にいる。

左から、株式会社ポケモン Pokémon GO 推進室 / 統括本部 経営企画部 テクニカルディレクター インフラエンジニア 関 剛さん、株式会社ディー・エヌ・エー セキュリティ技術グループ グループリーダー 汐田 徹也さん、グリー株式会社 開発本部 セキュリティ部 部長 奥村 祐則さん

まず、ゲームということでチートの問題からだ。
チートとはゲームプレイにおけるズルや不正な行為を指す。ゲーム業界では昔からある根深い問題の1つだ。奥村さんは、最近は悪質化していると現状を分析する。


奥村:僕は、チートをファミコンの時代からある裏技などの延長だととらえています。隠しコマンドから、ちょっとしたバグを利用してキャラを無限に増殖させるというようなものは昔は牧歌的にあったと思います。

しかし、ゲーム内の通貨が現実の世界で価値を持つようになってきたという時代の流れによって、だんだん悪質化してきているというのが最近の流れなのかなと思っています。

最近、ゲーム内の通貨を狙ってくるような攻撃であったり、ジェムを不正に取得したりしようという狙いを持った攻撃が実際に日々起こっています。


そのモチベーションはどこにあるかが気になるという辻さん。金銭に絡む犯罪なのか、愉快犯的なものなのか、これは「守る側から考えると攻撃側がどんな思考でくるのかというのをある程度知っておいたほうがいい」という観点から。

金銭目的のチートもあるとしながらも、「このゲームがチートできる」となるとやはりコミュニティが盛り上がるのだするのは汐田さんだ。


汐田:もちろん金銭目的のチートはものすごく多くて、チート代行業者もいます。お金目的の行為者がいなくなっても、世の中のコミュニティでチートしたい、誰か対策を突破してよ、という盛り上がりがあるのです。

盛り上がっているところに突破した方法、アプリなどを配ると一気にヒーローになれるというのがあって。一度、このゲームはチートできるんだとバレると、またしたいって思うんです。

:神降臨みたいな? みなさんからすると悪魔降臨かもしれませんが。

汐田:そうですね、神になりたいみたいなところもあると思います。


実際、前兆もコミュニティ発が多い。最初は海外の技術力の高いハッカー集団が掲示板などで情報をやり取りし、それが日本に持ち込まれ、徐々にその情報にアクセスできる人が増えてきて広まり、最終的に、ユーザーからの問い合わせや「おかしい」といった声があがることで、確定という流れだ。

その防御についてだが、たとえばクライアント-サーバ型であれば、クライアント側で守るのかサーバ側で守るのか? クライアント側での防御を強くするとユーザーにとっては使い勝手が悪い、不便だということになってしまう。


:最近だとクライアント-サーバ型になっているのがスタンダードだと思いますが、ユーザーが不正に操作した通信を送ってきたとき、サーバ側でチェックしなければいけないものというのもあると思います。

でも、クライアント側を制限し過ぎると不便になってしまったりする。そのときのバランス、ユーザーをどこまで信じるのかというところでせめぎ合いがあったりするものですか?

汐田:スタート地点はどんなゲームを作るか、どんな体験をさせるかというところがまずあります。それを実現するためにはどうしてもクライアントにロジックを寄せないといけないとか、開発体制的にどうしてもサーバで持ちきれなくてクライアントにロジックを寄せないといけないというところから始まることが多いです。

クライアントにどこまで権限を渡してしまったかというのが先にきて、その後に、権限がそのくらい渡っているならこれくらい対策しないといけないよねとか、あるいは全然権限を渡していないなら、別にクライアントのセキュリティ対策は要らないとか、そういった判断をしています。


辻さんは、一般的なセキュリティ対策における、

  • 自組織の中のエンドユーザーをどこまで信じるのか
  • 彼らにどこまでリテラシーを上げてもらうのか
  • 任せられない部分では出口側で対策をする

といった組み立て方に似ていると指摘する。

標的型攻撃が狙うもの

辻さんが次のテーマとして、まず解説したのは「標的型攻撃の狙いは個人情報だけではない」ということ。個人情報が流出した数が多ければ多いほど、また、その組織が目立つものであればあるほど叩かれるという面があり、どうしても個人情報を目的とするものがフォーカスされてしまうが、必ずしもそうではないという。

辻さんが根拠として示すのは、攻撃に使われるメールなどで囮(おとり)として使われる「デコイファイル」だ。メール本文の内容にそった無害なファイルが表示されて、ウイルスとは思わせないテクニックが使われる。たとえば日本年金機構やJTBの情報漏えい事件でもその手のファイルが見られたという。


:こうしたデコイファイルとして、慰安婦に関するものであったり、北東アジア研究交流ネットワークに関するもの、石油のOPECに関するもの、あるいは学術系の申請書、サミットに関するものなどさまざまにあります。

個人情報は流出すると報告義務がありニュースになりやすいため、そればかりが狙われるというイメージが多いと思いますが、おそらく外交情報や知財の材料であるとか、そうした情報が狙われているんじゃないか、個人情報以外にも目を向けていかないといけない時代になっているんじゃないかということを感じています。



辻さんが例に示したデコイファイル

では、ゲーム業界の場合、標的型攻撃に対抗していく中でまず守らなければならないもの、大事なものとは何だろうか。


奥村:自社ではクレジットカードの情報は持たないんですが、やはり個人情報、課金情報には非常に気を使っているところです。あとは、ゲーム業界特有のものとなるとソースコードですね。プログラムであったり、プログラムに署名をするコード署名証明書と呼ばれるものが狙われる傾向にあると思います。

汐田:私も個人情報が一番重要というポリシーです。うちは健康関連のサービスもやっており、遺伝子情報やヘルスケア情報、こういったものは絶対に漏らしてはならないので、他とはレベルを分けて強固に管理しています。

一人が攻撃にひっかかっても絶対にも漏れないようにという意識であたっています。ゲームでいうと、仮想通貨の操作権限などは狙われうると考えています。

:もちろん個人情報が一番最初に出てきますが、うちの場合、IP、知財の会社なので、たとえばまだ世に出ていないキャラクターの情報などが狙われる傾向があります。直接的な被害というわけではないのですが、パートナー企業とアライアンスを組んで、このキャラは御社に対して一番最初に出す権利をあげますというようなビジネスをしています。

そこを崩されるとパートナーさんが望んでいる利益が得られなかったり、損失を被ったりという事態になってしまうので、そういうところは非常に気をつけています。


辻さんのブログでは、日本学術振興会を騙った標的型攻撃メールを個人的に調査したときのことが書かれている。どんな攻撃だったのか、どういうマルウェアが送られてきたのか、そのマルウェアをホストしていたサイトを調査したものだ。

日本学術振興会を騙った標的型攻撃メール 調査メモ

3つ目のテーマは脆弱性対策

セキュリティの専門家でなくとも「脆弱性」はもう聞き慣れているだろう。珍しいものでもなく、数ヶ月に一度は何かの脆弱性が発見され、公表される。

辻さんが指摘するのは公表される脆弱性の数ではなく、「公表から実際の攻撃が発生するまでの期間」だ。


:学生の頃からこういった情報に興味を持って見ていましたが、段々と、公表から実際の攻撃が発生するまでの期間が短くなってきています。昔はだいたい数カ月、それが1カ月になり、1週間、最近はゼロday。修正方法がないのに攻撃方法があるというものが出てきていたりします。


よくやり玉にあげられるのがApache struts(Webアプリケーションフレームワーク)だ。脆弱性の公表から実際の攻撃が発生し被害が出るまで24時間かからないというところになってきているという。

しかし脆弱性対策で留意しなければいけないのは、「対策を優先し過ぎるあまりサービスを止めてしまっては意味がない」ということだ。セキュリティ対策は、システムを安定稼働しユーザーに安定したサービスを提供するのが最たる目的のはず。

「Confidentiality(機密性)」「Integrity(完全性)」「Availability(可用性)」がセキュリティの3要素として定義される(セキュリティのCIA)が、奥村さんは日本は情報漏えいにかなりフォーカスが当たりがちだと指摘する。どうしても機密性を特別視してしまう。

セキュティの要素には「A」という可用性の部分が含まれているので、セキュリティのアプローチとしてサービスを止めてまでパッチを当てるのかどうかを含めて考える必要があるのではないかとする。


奥村:何を当てて、何を当てなくてもいいのか、評価値をもとに基準をつけるようなアプローチをされる会社も多いと思いますが、評価値というのはあくまで「脆弱性の評価」でしかありません。自社のビジネスに対する影響は社内で判断するしかないと思っています。

脆弱性が出たからとにかく早く当てようというアプローチは取らずに、自社へのインパクトを判断しましょうというのがうちの基準になっています。

汐田:うちも似た感じです。まず、どう使われているか、使われ方を把握しないとCVSS(共通脆弱性評価システム)の数字で判断しても全然ダメですね。たとえば、SSLの脆弱性が見つかったとしても、本当に機密な情報をやり取りしているサービスに使われていたらすぐに対策する必要があるでしょう。しかし、とりあえずSSLにしておくねというサービスなら対策はゆっくりでもいいとか、そういうサービスの性質をよく理解しておく必要があります。また、実際の攻撃手法も知っておかないといけない。中間者攻撃が前提なのか、リモートなのかローカルなのか、で判断も変わってきます。

奥村:前提のところは大事ですね。攻撃の容易性が違っても同じ評価値だったりするので、評価値が「緊急度10」だからとりあえずパッチを当てるかというと、よくよく聞いてみると、でもこれ、攻撃難しいねという場合もあるので。


辻さんはメディアが脆弱性をアナウンスする際の表現に問題があるとする。たとえば、「レベル10の脆弱性」と表現されるとき、これはCVSSの評価値(基本評価基準値を用いたもの)なのだが、それがどういう意味かというと「その攻撃が成功したときにシステムに与える影響度合いが10である」ことを示す。


:僕は、お客さんのシステムの脆弱性を洗い出す立場ですが、そのときいつも言っているのは、中リスク以下は(パッチ対応は)1カ月以内でいいんじゃないですかと。とりあえず、いま危ないか危なくないかの基準は「攻撃ができるかどうか」です。

実際にやってみて、中が見えたとか、侵入してリモートからコントルールできたものだけとりあえず直してくださいという言い方をしています。CVSSの基本評価基準よりも現状評価基準を見てほしいと。

これは、実際に攻撃する手法があるか、攻撃ツールがリリースされているか、もしくはどこかのベンダーが攻撃を検知しているかを示すものです。攻撃の容易性というのはこのことですよね?

奥村:そうですね。攻撃の容易性というところで、実際に攻撃が観測されているという情報であるとか、こういう攻撃キットが出回っていますというほうを重視しています。

汐田:ウェブのセキュリティニュースとかCVSSを信用して「いますぐやらなきゃいけない」となるのではなく、一歩立ち止まって、もう少し社内のシステムを把握して判断してほしいと思います。

実際にそんなにリスクを感じなくともニュースに取り上げられているからやらなきゃみたいな的な、ある意味風評的なこともありますが。そこの認識が社会全体で変わっていくと、本当に重要な脆弱性が重視されてもっと安全になると思います。


いったん冷静になる必要があるということ。文字にすると当たり前のことのようだが、ニュースになって騒がれると対策をしていないことで叩かれてしまう場合もある。しかし、「そうでないと本当の危険を見過ごす可能性があるんだというところ」(辻さん)なのだ。

ゲーム業界特有の事情や現場のセキュリティ担当者の本音が語られ、同時に、セキュリティ対策の基本が展開されたセッションだった。

  • 18
  • このエントリーをはてなブックマークに追加

■関連記事

AbemaTVがリニア型配信で「MPEG-DASH」をサポートした理由と、その使い方とは?... HLSとMPEG-DASHの違い 「AbemaTV Developer Conference 2017」は開局から約1年半のインターネットテレビ放送の実績をもとに、現場で得られた技術的知見が公開されるイベントである。 配信現場からインジェスト・パッケージングを経て、多様なデバイスに快適な視聴体験...
人類はインターネットでテレビができるのか?──大規模トラフィックを支えるAbemaTVの裏側とは... AbemaTVの負荷対策とは 10月21日に開催されたAbemaTVの取り組みや技術的知見を披露するイベント「AbemaTV Developer Conference 2017」。その最後のセッションに登壇したのが、サイバーエージェント技術本部のService Reliability Group(...
ロバート・タージャン氏を直撃取材―IntertrustはLINEのセキュリティ技術に何をもたらすか?... LINEとIntertrust社が共同でセキュリティ・サミットを開催 LINEは、Intertrust Technologies Corporation(本社:カリフォルニア州、以下:Intertrust)と共催で、アプリケーションセキュリティおよびデータプライバシー強化ソリューションの促進を目的...
伊藤直也さん・きゃんちと「IT業界モンハンG級ハンター狩猟祭」イベント! #MH4G #モンハン... ハンターたちは開催前も狩りタイム モンスターハンターシリーズ10周年ということもあり、2014年10月11日に発売された最新作「モンスターハンター4G(MH4G)」も大ヒット! 前作に引き続き、今作でもモンハン好きで知られる伊藤直也さん・きゃんちこと喜屋武ちあきさんとモンハンオフ会を開催しました...
プログラマがいなくてもゲームが作れる!?「PlayArtビジュアルノベルゲームジャム」レポート #u... ビジュアルノベルをテーマに普段とは一味違ったゲームジャムを 「PlayArtビジュアルノベルゲームジャム」は、昨年開催したPlayArtゲームジャムの第2回という位置づけで、渋谷ヒカリエにあるNHN PlayArt株式会社にて開催されました。 今回のテーマはその名の通り「ビジュアルノベル」。...
スクエニ初の試み!中高生向けゲームクリエイター育成キャンプ「SQUARE ENIX GAME CAM... プログラミング経験に合わせた3つのゲームプログラミングコースを用意 6月14日・15日の2日間にわたって開催されたSQUARE ENIX GAME CAMPでは、約200人の中高生が参加。SQUARE ENIX GAME CAMPとは、スクウェア・エニックスとLife is Tech!が合同で開催...

今週のPickUPレポート

新着記事

週間ランキング

CodeIQとは

CodeIQ(コードアイキュー)とは、自分の実力を知りたいITエンジニア向けの、実務スキル評価サービスです。

CodeIQご利用にあたって
関連サイト
codeiq

リクルートグループサイトへ