［OGC2008＃14］アンラボによるハッキングとオンラインゲームセキュリティへの対応法

　OGC 2008で行われたアンラボによる「オンラインゲームのハッキング手法と防止対策」と題された講演の概要を紹介したい。アンラボは，韓国でNO.1の売り上げを誇るアンチウイルスソフトメーカーだ。最近増えつつあるオンラインゲームのアカウント情報を盗むスパイウェア対策を得意としており，日本でもそれに特化したMySaaSのサービスを行っている。OGCはエンドユーザー向けのイベントではないので，事業者向けの対策に関する話である。

　アンラボCOOの文商準氏は，オンラインゲームのハッキングでは，どういう問題があるのか，どのような手法があるのか，そしてどのような対策があるのかについて順に解説を行った。ここでいうハッキングは，多岐の内容にわたっており，スパイウェアによるアカウント不正利用から，チートツールの問題，BOT問題，サーバーセキュリティ，運営会社の内部スタッフによる不正まで含まれる。

　まず，ユーザーレベルでの問題点は，キャラクターやアイテム，仮想通貨が盗まれるといったことであり，損害やリスクは分かりやすい。運営側での問題は，チートやBOTによるゲームバランスの崩壊，ユーザー離れによる損害，サーバー負荷の増大などがある。

各種ハッキングの種類（左）とスパイウェアに占めるオンラインゲーム特化型の割合が分かるグラフ（右）

　事例では，タイマを操作してキャラクターの速度を上げたり，逆にゲームの速度を遅くするスピードハックや，クライアントプログラムを書き替えるクライアントハック，実行中のメモリ内容を書き替えるメモリハック，パケットを書き替えるネットワークハックなどが紹介され，いくつかは壇上で実演も行われた。
　最近では，ゲームクライアントとはまったく別のプログラムでゲームに接続するノンクライアントBOTや，ツールやドライバなどは使わずハードウェアで制御されるオートマウスといった検出しにくいものが多く出てきているという。BOT確認では，GMがキャラに話しかけてみるという手法が多く使われているが，話しかけられたら返事をするマウスというものなども発売されているのだそうだ。


　対策としては，上記の手法に対応して，クライアントプログラムを解析しにくくする方法や改竄確認などの徹底が必要となる。
　それ以外に法的な面での対策例として現在の韓国の法律が示されたのだが，興味深いのは，ハッキングで得たアカウントでゲームマネーを得たり，不正プログラムの使用で生産やアイテムの獲得を行うことは，別に禁止されていないのである。その結果を「取引」することが禁じられている。
　現在，韓国のオンラインゲーム市場の半分はRMTによるものであり，日本円にして1000億円規模になっているという。法律ではRMTの是非については判断を保留しているものの，経済活動としては見逃せないために，RMTに税金を課している。


　さて，スポンサーセッションなので基本的にはアンラボ製品を使えば楽ですよという話なのだが，日々増大していくハッキング対策を全部自社で対応するのは，そうとうの大手を除いてはあまり現実的ではないのも事実だ。確実に必要なものではあるが，コストも馬鹿にならない。アンラボの提供するSDKを使うことで，最先端レベルで対策のノウハウを導入できる。また，セキュアOSも用意されており，運営内部からの不正な操作にも対応できるなどの製品を用意しているという。
　内部スタッフによる不正行為は，日本では「ラグナロクオンライン」で起こった例があったものの，韓国ではもっと大きな問題となっているらしい。細かな権限でアクセス制限を行うOSは，管理者の不注意による事故を防止するうえでも役に立つものだ。

　日本では「Perfect World -完美世界-」や「マビノギ」でのゲームサーバーやWebサーバーのハッキングなどが話題になるなど，オンラインゲームのセキュリティに注目が集まっている。アンラボなど，セキュリティ専門業者のソリューションで対応が可能なものがあるのなら，それらも検討してセキュリティレベルを上げていただきたいものである。