オンラインゲームに潜む影――あなたのキャラクターは大丈夫？（前編） (1/2)

オンラインゲームで遊んでいる皆さん、突然自分のキャラクターが使えなくなったらと考えたことはありますか？　最近被害が続出しているアカウントハックの恐怖とその内容に迫る。

[ITmedia +D Games取材班，ITmedia]

あなたのキャラクター、狙われていませんか？

　普段、オンラインゲームをプレイしている人も多いと思うが、皆さんは「アカウントハック」という言葉をご存じだろうか？　アカウントハックとは、ゲームにログインする際に使用するIDやパスワードを盗む行為のこと。これによって、盗んだ人が本人になりすましてゲームにログインをして、手に入れたアイテムや装備、ゲーム中で使用する通貨を別のアカウントに移すなどの事例が増えている。さらに登録してあるアカウントにクレジットカードの情報も入っていると、せっかく何時間もプレイして手塩にかけて育てたキャラクターが他の人の手に渡ってしまうだけではなく、クレジットカードが悪用されてしまう可能性もあるのだ。

　今回は、アカウントハックがどのような手段で行われるのか、どうしたらアカウントハックを回避できるかについてお伝えしていく。「騙されるやつが悪いんだ」、「自分は大丈夫」と根拠のない自信を持っている人も多いかもしれないが、他人事にせずぜひ1度、自分のPCのセキュリティやID、パスワードの管理方法を見直して欲しい。

こんな方法であなたのキャラクターは盗まれる

　「アカウントハック」には大まかに分類して「ソーシャルハック」、「ブルートフォースアタック」、「マルウェア」の3種類の方法がある。それぞれの手段はかなり違うものになっているので、ここではまずその内容と回避方法について説明していく。

　「ソーシャルハック」とは直接IDやパスワードを見たり聞き出したりして盗む行為で、IDやパスワードを書いたメモを見られる、ネットカフェで入力したままにしたIDやパスワードを使用されるといった、PCを使用する人間側のミスを狙うもの。これらは、PCにパスワードを記憶させない、IDやパスワードを紙に書いている場合は人目に着くところに置かない、人から聞かれても教えないなど、普段のほんの少しの注意で回避できる。

　「ブルートフォースアタック」の「ブルートフォース（Brute Force）」とは、日本語に訳すと「力ずくで」といった意味になる。これはプログラムによってありとあらゆる文字の組み合わせを「総当り」で入力していく方法だ。パスワード解除までに時間はかかるが、ゲーム側にパスワード入力回数の制限がない限りいずれは突破されてしまう。パスワードの文字数が少ない人や英字・数字にしている人が被害にあいやすい。これを回避するためには、数字だけのパスワードはやめる、パスワードの文字数を増やす、パスワードに大文字・小文字・数字を混ぜて複雑にする、パスワードを文や単語など意味を持つものにしないなどの工夫で、簡単には「ブルートフォースアタック」による被害を受けにくくすることができる。ただし、パスワードを複雑にしすぎて、パスワードを書いたメモをPCの周りに置いておくとソーシャルハックされてしまうので、気をつけてほしい。

　「マルウェア」は、ウイルス、ワーム、スパイウエアなどの“悪意のこもった”ソフトウェアを指す。マルウェアに感染する経緯はさまざまで、有用なプログラムを装ってユーザーの手でインストールさせるものや、マルウェアが仕組まれたサイトにアクセスするだけでインストールされてしまうものまである。アカウントハックの被害を引き起こす代表的なマルウェアには「バックドア」、「キーロガー」といった種類があり、これらのマルウェアはWeb経由や後述する「トロイの木馬」経由で入ってくるものが多い。

　以下にマルウェアの種類ごとに、どういった経緯でユーザーのPCに侵入してくるのか、どのような被害を起こすものかを表にしたので参考にして欲しい。

• ウイルス：USBメモリやCDなどの記憶メディアやメールを介してPCに侵入し、他のファイルへの感染を繰り返すプログラムを指す。直接的な被害がないものもあるが、PCの動作が遅くなってしまったり、PCの重要なファイルに感染するとPCが起動しなくなったりする場合もある。
• トロイの木馬：有用なプログラムを装いPCにインストールさせ侵入するプログラム。ギリシア神話の「トロイの木馬」が由来となる。
• キーロガー（スパイウエア）：プログラム入力したキーを外部に送信し、IDやパスワードを盗み取るプログラム。「キーロガー」はPCの情報を盗み取る「スパイウエア」のプログラムの一種に分類される。
• ドロッパ：他のマルウェアを自動的にダウンロードさせるプログラム。トロイの木馬と併用されることが多い。
• バックドア：PCを外部から勝手に操作できるようにするプログラム。

　マルウェアの多くはWindowsの脆弱性を狙ったものであるため、基本的にはMicrosoft Updateにより最新の状態に更新する、セキュリティソフトのウイルス定義を最新にすることで感染を防げる。さらには、メーカーに認められていないユーザーが作ったプレイ支援ツールを使わない、ブログやサイトにリンクされているURLをむやみにクリックしない、などをしっかり守っていれば感染する可能性は限りなく低くなる。ブラウザの設定でJavaスクリプトやActiveXコントロール、IFRAMEの使用をオフにしておくこと（IE6ではこの項目がないので注意）でも、回避できるだろう。

　また、Webサービスで自分のPCを無料でウイルスのスキャンをしてくれるサイトもあるので、感染していないかチェックする習慣をつけてほしい。仮にIDやパスワードが漏れてしまっても、他の人にログインされる前にパスワードを変更すればOK。定期的にパスワードを変更することも心がけよう。

IEのツール−インターネットオプション−セキュリティ−レベルのカスタマイズから、ActiveXコントロール、Javaスクリプト、IFRAMEの設定を変更できる（画像はVistaのものです）