2013年2月5日8:00
日本オンラインゲーム協会(JOGA)の不正アクセス防止に向けた活動(下)
サイト横断的な不正が増加
3-Dセキュアやワンタイム・パスワードの導入を推進
最近の不正行為の特徴としては、サイト横断的に行われています。例えば、一般のWebサイトで盗んだIDとパスワードをオンラインゲームサイトで試す行為が見受けられます。一般のWebサイトと同じパスワードでオンラインゲームを楽しまれる方が非常に多いため、他の脆弱性のあるサイトでIDとパスワードを取得し、RMTを目的としてオンラインゲームで入力するとヒット率が高くなるからです。
また、IDとパスワードのリストはデータベース上に保管されていますが、それをまとめて搾取してオンラインゲームで利用されています。さらに、「ゴールドファーマー」と呼ばれるRMT専業組織が存在し、不正行為を働いていますが、これを「リスト型アカウントハッキング」と呼んでいます。
JOGAでは不正利用の対策として、ワンタイムでパスワードを生成する仕組みの導入を推奨しています。導入するゲーム会社の数や、利用者数の向上は課題となっていますが、例えばNHN Japanが「ハンゲーム」で提供しているワンタイム・パスワードシステムの場合、PCと別のデバイスにモジュールとアプリケーションをダウンロードしてもらいランダムなパスワードを発行しています。パスワードは30秒有効なため、その間にログインを行っていただければ、不正の心配はありません。
また、クレジットカードの国際ブランドが推奨する「3-Dセキュア」の導入を勧めています。現在、3-Dセキュアの導入は31社中17社で、JOGAのデータとしては76%の導入率となっています。興味深いのは、3-Dセキュアの導入により不正課金が約6割減少したことです。また、セキュリティコードを導入している会社もあります。
システム的な対応をする一方で、お客様側で防衛できる手段の1つとして、“オンライゲームごとにIDとパスワードを変更してください”という啓蒙活動にも努めています。
2012年5月にガイドラインを作成
ワンタイムパスワードやリスト型ハッキング対策も整備
JOGAでは、月に1回ワーキンググループを設けて不正利用について議論しています。業界内での連携を強めつつ、2012年5月に、「オンラインゲームにおけるビジネスモデルの企画設計および運営ガイドライン」を作成しました。例えば、それぞれの事業者で事故が起こった際には情報共有することで、水際で次の不正を抑制できます。また、内部監査に関する事項などを記載した「ランダム型アイテム提供方式における表示および運営ガイドライン」と「インシデント発生時の情報共有に関するガイドライン」、「リスト型アカウントハッキングに対する対策ガイドライン」、「ワンタイムパスワード等セキュリティソリューションガイドライン」、「セキュリティベンダー関連団体との連携ガイドライン」も整備しており、これ以外のガイドラインも作成予定です。
オンラインゲームは、サービス事業者やタイトル数の増加も相まって、不正の問題は次々に発生しています。そのため、警察庁とは不正行為の情報を定期的に提供する仕組みを設けており、不正なIDとパスワードを防止するため関係団体や組織との連携も行っています。また、ソーシャルゲーム協会(JASGA)にJOGAも参画して、ソーシャルゲームを展開する企業との関係を深める活動を行っています。
最後に、JOGAとしては、オンラインゲームを利用されるお客様の救済を一番に考えています。JOGAでは、お客様から被害申告を受け付けています。また、お客様との連携を深めながら、健全な市場の維持・向上、ひいては業界の発展に向けて、社会的な責任の面も意識しながら、かつお客様が安心して利用できる環境を整備していきたいと思います。
※本記事は2012年11月15日に開催された「ペイメントカード・セキュリティフォーラム」のNHN Japan株式会社 法務・政策室 情報セキュリティチーム マネージャー 増村洋二氏の講演をベースに加筆を加え、紹介しています。
