脅威に打ち勝つために情報武装せよ
DEFCONの向こうにある安全な世界を目指して
滝口 博昭
株式会社ラック
JSOC事業部 MSS部 アナリスト
CISSP
2008/9/29
現実の脅威を引き起こす「ゲームの世界」
フェルナンド・ショーバー(Ferdinand Schober)氏は、オンラインゲーム利用者のマシンに対する脅威について「Gaming - The Next Overlooked Security Hole」と題し講演していた。講演を聴いて気になった点は以下のとおりである。
- オンラインゲームに関連するプログラムが管理者権限を利用し、動作しているケースが多い。
- メンテナンスパッチは自動的に適用されるケースがある。
- 拡張パッチ(機能の追加など)を装ってマルウェアを仕掛けたケースがある。
- ゲームに修正パッチが適用されていても、IEやFirefoxなどのブラウザが脆弱であるとマシンが影響を受ける可能性がある。
- 近年のオンラインゲームを稼働させるためにはかなりのハードウェアスペックを必要とする。
- RMT(Real-Money Trading)が存在する。
これらの項目を見ると、近年オンラインゲームという環境を狙ったマルウェアが多く存在する理由が分かる。その理由は以下のとおりである。
まず、オンラインゲーム内で行う操作の中に管理者権限で動作しているプログラムもあると考えた場合、攻撃者は管理者権限を利用してさまざまな攻撃を行う可能性がある。ある友人の話では、Windows VistaではUAC(ユーザーアカウント制御)がデフォルトで有効になっているため、その機能を外さないと動かないゲームもあるとのことだった。このことからも、ゲームユーザーは管理者権限で動作しているプログラムの存在など気にせずにゲームを楽しんでいる可能性があり、攻撃されやすい環境が自然とつくられていることになる。
さらに、ユーザーは拡張パッチを適用することで、求めていた新機能を利用することができて満足してしまうため、裏側で悪意のあるプログラムが稼働していたとしても、ゲーム画面上や操作上での異変が起きない限り気付かない可能性がある。
攻撃者はこの管理者権限で動作するプログラムと拡張パッチを利用することで、悪意のあるプログラムをユーザーに気付かせることなく管理者権限で動作させ、ゲームユーザーにマルウェアを感染させる可能性がある。
また、ゲーム関連の掲示板内でIEやFirefoxなどのブラウザの脆弱性を悪用することでも、間接的にオンラインゲームに対して何か不正な動作を仕掛けることが可能になる。そして重要なのが、RMTの存在だ。
●バーチャルとリアルをつなげるRMTという架け橋
オンラインゲームにはアイテムなどの交換や売買に仮想通貨を利用するが、RMTを利用して現実の通貨でやりとりすることもできる。対象となるオンラインゲームが人気であればあるほど需要と供給が成り立つので、金銭目的の攻撃者にとっては稼ぎどころになるだろう。そのせいか、近年騒がれているWebサイトの改ざんを狙ったSQLインジェクション攻撃やDNSキャッシュポイズニングでは、最終的には悪意のあるマルウェアをユーザーに感染させて、オンラインゲーム関連の情報を盗むケースがある。
これらの内容を踏まえると、オンラインゲーム環境における脅威は今後も続く可能性が高く、注意が必要である。
●ゲームユーザーはPC2台持ち/クレジットカード2枚持ち推奨?
次にこの脅威の対策を考えてみたい。基本的な対策としては以下の方法があると思う。
まず、利用するマシンは最新のセキュリティパッチを適用するべきである。また、メンテナンスパッチに関しては自動的に適用されるケースもあるが、念のため利用しているゲームサイトのメンテナンス情報などを定期的に確認することをお勧めする。拡張パッチに関してはインストールする前にアンチウイルスソフトなどで一度スキャンすることをお勧めする。アンチウイルスソフトをマシンにインストールしていない人は、オンラインでのスキャンを利用するとよい。シマンテックやトレンドマイクロなどはオンラインスキャンが行える。また、Virustotalのようなさまざまなウイルスベンダによる総合スキャンを利用する方法もある。
次に保険的な対策として、オンラインゲームが高いハードウェアスペックを求めることをうまく利用し、ゲーム専用マシンを1台設置する方法もある。仕事やオンラインバンキングなどで利用するPCとは別にすることで、オンラインゲームに関係しない機密情報などを盗まれる心配がなく2次被害を防げる可能性がある。
また、オンラインゲームの個人情報に対する保険としては、オンラインゲーム専用のクレジットカードを作成し、カードに利用制限を掛ける方法がある。携帯電話の支払い、公共料金の支払い、買い物などさまざまなケースでカードを利用した場合、少額の不正利用を見落とす可能性があるが、オンラインゲームの利用のみならば、不正利用に気付く可能性が高くなる。また、万が一に備えてカードの利用制限を下げることで被害額を最小限に抑えることができる。
プライバシー観、EUと日本の違い
ブレンノ・ウィンター(Brenno J.S.A de Winter)氏は講演「Hacking Data Retention」の中で、EUでは個人間の電話記録やメール情報などを保存し、人々の行動に対して監視している国もあると話していた。この講演についていくつかウィンター氏に質問してみた。
――なぜこのようなプライバシーにかかわる情報まで保存し、監視する必要があるのか教えていただきたい。
ウィンター氏: EUでは近年テロが活発化している。そのため、テロからの脅威を未然に防ぐためにこのような行為を行っていると考えられる。
――日本ではこのようなことは行っていないと思うが、ウィンター氏からみて、行う必要があるか教えていただきたい。
ウィンター氏: 必要ないと思う。なぜなら日本は第2次世界大戦後からしっかりとした規制を設けており、きちんとコントロールされていると思うからである。
ではこれを「インターネットの脅威」で考えるとどうだろうか? 現在、世界のさまざまなセキュリティ企業は、自社で何が起こっているかを世界に向けて発信している。日本はそれらの情報を収集し、自国で脅威になるか考えたうえでマスコミや各機関を経由してユーザーに啓発する。しかしこの「脅威になるか考える」ための材料がいまの日本には不足しているため、日本への影響を十分に判断できず、「世界で起こっている脅威」=「日本でも起こるだろう脅威」になっているように私は感じるのだ。
これを解決するにはいろいろな方法があると思うが、私個人としては、「日本では何が起こっているか?」を発信できる立場にいる人は、日本がより適切に「インターネットの脅威」を判断できるように、世界で起きている「インターネットの脅威」が日本でも脅威になるのか、より分かりやすく多くの人に伝えるべきだと思う。
 |
2/3 |
 |
| Index | |
| DEFCONの向こうにある安全な世界を目指して | |
| Page1 DEFCON、そして海外セミナー参加の心構え 注目の集まる“DNSキャッシュポイズニング”講演 |
|
 |
Page2 現実の脅威を引き起こす「ゲームの世界」 プライバシー観、EUと日本の違い |
| Page3 Internet Wars、その傾向と対策 エンジニアよ、海外の仲間とも情報共有せよ! |
|
| 関連記事 | |
| 突撃! ハッカーの祭典「DEFCON16」in ラスベガス | |
| チーム「dumbtech」、Sexy Hacking Girlsへの挑戦 | |
| DEFCONの向こうにある安全な世界を目指して | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
