サイバー攻撃者にとって、近年“美味しい”ターゲットになっているのがオンラインゲームだ。ゲーム情報誌「ファミ通」を発行するGzブレインの調査によると、2018年のゲーム市場はグローバルで前年比約2割増の13兆1774億円。国内市場は1兆6704億円で、7割ほどをPCやモバイルなどによるオンラインゲームが占める（図表）。

図表　国内家庭用/オンラインプラットフォーム ゲーム市場規模推移

その一方で「大手企業でも、セキュリティ対策を十分にできるのは収益の上がっているサービスのみ。現実的には、新興ベンダーなどはセキュリティ対策へ投資するのは厳しい」とトレンドマイクロ セキュリティエバンジェリストの山外一徳氏は指摘する。また、ゲーム内通貨を盗むことで、比較的手軽に現実のお金に換金することが可能だ。これらの理由からゲーム業界は狙われやすくなっている。サイバー攻撃者の標的は大きくユーザーとゲーム事業者に分かれ、それぞれで対策が必要だ。

アカウント漏洩が多発ユーザーを狙った攻撃でわかりやすいのが、アカウント侵害の危険だ。

例えば、2015年12月にはゲーム配信プラットフォーム「Steam」を運営するValve社が、7万7千件のアカウント情報が毎月流出していると発表している。また、アカマイ・テクノロジーズの調査によると2017年11月から2019年3月の17カ月の間にゲームウェブサイトを標的としたボットによる不正ログイン攻撃は120億件も発生している。全産業では550億件であり、2割以上が1業界に集中している。ゲームのアカウントは特に狙われている状態だと言えよう。

「Password」「123456」のような容易に推測できるパスワードを避けることに加えて、重要なのは使いまわしを避けることだ。

「よそで流出したパスワードから、認証時にユーザーIDを総当たりで試す『アカウントリスト攻撃』も行われている」と山外氏は話す。

通常、複数回ログインを失敗すると一定期間認証できなくなる。ただ「パスワードが正しい場合は複数のIDを試せる仕様のゲームも存在する」。そのため、使いまわしているパスワードの流出が即座にアカウント侵害につながりかねない。

フィッシング詐欺系の攻撃も多いという。例えば、「個人情報が漏洩したから確認してください」という文面のメールを送り付け、偽のサイトに誘導するといった具合だ。

また、モバイルの場合は正規アプリに酷似した偽アプリを作成し、誤ってインストールされることを狙う。「最近では偽アプリにも良い評価や多くのダウンロード数があって巧妙になっている。偽アプリがダウンロードされると内部の情報が漏洩したり、スマートフォンが操作されたりする恐れがある」と山岡氏は解説する。