オンラインゲームのセキュリティ

オンラインゲームは攻撃者にとって収入に繋がる可能性が高く、かつセキュリティも(銀行などと比べて)それほど厳しくないので、ターゲットとしては狙いやすいのかもしれません。ゲーム会社としてはユーザが遊びやすいように利便性を求める必要があるし、利便性を優先するとセキュリティが甘くなってしまいます。

攻撃者としてオンラインゲームから利益を得ようと考えた場合、まず他人のアカウントでログインしてアイテムやゲーム内のお金をRMT(リアルマネートレード)で現金に換える方法がありますが、そうすると他人のアカウントを盗むのが第一の目的となります。アカウントを盗む為の方法として考えられる方法は3つあって、以下の通り脆弱性さえあればアカウント情報を盗むことも容易です。

  • ホストの脆弱性を利用したアカウントの漏洩
  • Webアプリの脆弱性を利用したアカウントの漏洩
  • ゲームシステムの脆弱性を利用したアカウント情報の漏洩
その他にも、認証が必要なサービスなので、総当たり攻撃という手もありますが、よっぽど推測の容易なパスワードを設定していない限りなかなか容易にログインに成功することはありません(管理会社側で総当たり攻撃に対する対策やログの調査をまったく行っていない場合は別ですが)。攻撃者が容易にアカウント情報を収集する為には、多数あるオンラインゲームのうち、1つでもアカウント情報の漏洩につながる脆弱性があるゲームがあれば、そこから取得した情報をもとにその他のゲームにもログインを試行することによってログインできてしまう可能性があります。なぜなら、オンラインゲームのユーザはいくつものゲームにアカウントを作成している可能性があり、それぞれ異なるパスワードを設定していない可能性も非常に高いからです。

オンラインゲームに脆弱性が見つからなくても、攻撃者がゲームの情報サイトを作成すればゲーム好きなユーザはアカウントを作成するかもしれません。攻撃者はユーザが入力したパスワードを暗号化することなくDBに登録することによって、オンラインゲームにログインできる可能性のあるアカウント情報の一覧が自動的に集まってくるはずです。

個々のゲームで異なる認証方式を実装するとか、オンラインゲームの運用におけるセキュリティのスタンダードをもう少し厳しく定める必要もあるように思います。

投稿者 Koichi | | 0 コメント
登録: 投稿 (Atom)
 
©2009 H@ck3r's faith | by TNB