Security in MMOG: オンラインゲームのセキュリティ

オンラインゲームのセキュリティ 傾向および課題 Security in Massively Multiplayer Online Games 山根 信二 馬場 章 東京大学大学院 学際情報学府・情報学環 November 1, 2007 Yamane and Baba (U-Tokyo) Security in MMOG CSS2007 1 / 16

• #p16

構成 1 2 3 4 本発表の目的 現状 社会的関心の高まりと実態 犯罪統計にもとづく調査 2006 年の新傾向 現状のまとめ 考察 先行研究 分析モデル 今後の課題 まとめ Yamane and Baba (U-Tokyo) Security in MMOG CSS2007 2 / 16

• #p3
• #p4
• #p6
• #p8
• #p9
• #p10
• #p11
• #p12
• #p13
• #p1

本発表の目的 本発表の目的と経過 研究テーマ: 流動的なユーザー層 (i.e., hobbist) に 注目したサイバーセキュリティ 昨年より MMOG について調査を開始 2007 年 5 月の CSEC で近年の傾向について報告，セ キュリティ工学および関連領域での問題の見取図を 提示 最近のゲーム研究の成果を踏まえ，今後の分析の 枠組と研究課題について発表する． Yamane and Baba (U-Tokyo) Security in MMOG CSS2007 3 / 16

• #p1

現状 社会的関心の高まりと実態 報道事例 (1) 海外からの不正アクセス中継による電子計算機損 壊等業務妨害事件 (2006) ゲーム運営会社元社員によるバーチャル通貨発行 を目的とした不正アクセス禁止法違反事件 (2006) 中学生による “史上最年少フィッシング詐欺” 事件 (2006) Yamane and Baba (U-Tokyo) Security in MMOG CSS2007 4 / 16

• #p1

現状 社会的関心の高まりと実態 報道事例 (2) ゲームアカウントのパスワードを狙うマルウェア の増加 (2006) ゲームアカウント取得のために十数万人の住民登 録番号を盗用 (韓国, 2006.3) ネットワーク窃盗団 44 人逮捕 (中国, 2006) あるいは. . . Second Life で 1 億円稼ぐ!(2006–) Yamane and Baba (U-Tokyo) Security in MMOG CSS2007 5 / 16

• #p1

現状 犯罪統計にもとづく調査 犯罪統計にもとづく調査 サイバー犯罪報道は実態を反映しているのか? 目新しい話題だから報道されているだけではない のか? 体感治安と実施されたセキュリティ対策とは合致 しているか? Yamane and Baba (U-Tokyo) Security in MMOG CSS2007 6 / 16

• #p1

現状 犯罪統計にもとづく調査 犯罪統計に注目 世界的にも数少ない調査報告 / 不正取引額もすべ て推定 台湾での犯罪統計分析 (Chen et al., 2004–2005) 司法情報を研究目的で利用 台湾で 2002 年に検挙されたコンピュータ犯罪 3,553 件のうち，37%にのぼる 1,300 件以上がオンライン ゲーム関連 サイバー犯罪対策にオンラインゲームのセキュリティ 対策が不可欠 日本国内で同様の事態が観測されたのは 2006 年 から → Yamane and Baba (U-Tokyo) Security in MMOG CSS2007 7 / 16

• #p1

現状 2006 年の新傾向 日本国内の傾向 警視庁の 2007 年公開資料: 不正アクセス行為の検 挙状況 2006 年 1 月 1 日–12 月 31 日までの集計 全体: 識別符号の窃用 698 件，セキュリティホー ルへの攻撃 0 件 不正利用されたサービス種別: オンラインゲーム が 2 位 (223 件) に 動機: オンラインゲーム不正操作が 2 位 (211 件) に (17 年度の 25 件から急増) 被疑者の年齢層: 最少 14 歳から—攻撃者モデルの 再考 Yamane and Baba (U-Tokyo) Security in MMOG CSS2007 8 / 16

• #p1

現状 現状のまとめ 現状のまとめ 2004 年の台湾のサイバー犯罪統計と同様の急増 傾向を 2006 年の日本でも確認 サイバー犯罪の手口，インセンティブ，年齢層の 変化 オンラインバンキングに比べ，オンラインゲーム のセキュリティ対策は蓄積がなく，弱い鎖 (the weakest link) となっている オンラインゲームの不正行為・クラッキングの法 的位置づけが不明瞭 → 分析の枠組が必要 Yamane and Baba (U-Tokyo) Security in MMOG CSS2007 9 / 16

• #p1

考察 先行研究 Virtual Fraud [Bardzell et al., 2007] 技術的な実装可能性とパブリッシャーの規範にもとづく問題分類 Yamane and Baba (U-Tokyo) Security in MMOG CSS2007 10 / 16

• #p1

考察 分析モデル 動的セキュリティモデルの導入 世界デザイン・利用者許諾によって変化する攻撃ベクトル Yamane and Baba (U-Tokyo) Security in MMOG CSS2007 11 / 16

• #p1

考察 今後の課題 今後の課題 オンラインゲームのセキュリティの歴史の浅さ 事例研究が共有されない 東アジアからの情報発信が少ない バーチャル世界のコントロールの視点をとりいれ たサイバーセキュリティ 多関与者間の経済的インセンティブの調整 イノベーションをもたらす自由度の高さとセキュ リティのバランス これらの問題を考慮しつつ，枠組の各象限につい て事例研究および検討を進める Yamane and Baba (U-Tokyo) Security in MMOG CSS2007 12 / 16

• #p1

まとめ まとめ 犯罪統計に立脚したサイバーセキュリティの動向 従来とは異なる攻撃対象と攻撃者 オンラインゲームはもはやお遊びではない リアル世界とバーチャル世界との交流によって起 こる問題がいちはやく先鋭化している セキュリティ対策のための分析の枠組: 事後分析 だけでなく，設計へのフィードバックを目指す 今後の課題: 分析の枠組の検討と多関与者間の経 済的インセンティブ Yamane and Baba (U-Tokyo) Security in MMOG CSS2007 13 / 16

• #p1

まとめ 参考文献 References I Jeffrey Bardzell, Markus Jakobsson, Shaowen Bardzell, Tyler Pace, Will Odom, and Aaron Houssian. Virtual worlds and fraud: Approaching cybersecurity in Massively Multiplayer Online Games. In Situated Play: Proceedings of the Digital Games Research Association (DiGRA)’s Third International Conference, September 2007. Ying-Chieh Chen, Patrick S. Chen, Jing-Jang Hwang, Larry Korba, Ronggong Song, and George Yee. An analysis of online gaming crime characteristics. Internet Research, Vol. 15, No. 3, pp. 246–261, 2005. http://www.emeraldinsight.com/10.1108/10662240510602672 . Ying-Chieh Chen, Patrick S. Chen, Ronggong Song, and Larry Korba. Online gaming crime and security issue: Cases and countermeasures from Taiwan. In Proceedings of the second annual conference on Privacy, Security, and Trust (PST2004), pp. 13–15, October 2004. Also available at http://iit-iti.nrc-cnrc.gc.ca/iit-publications-iti/docs/NRC-47401.pdf (visited May 1, 2007). 警察庁. 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況（平成 18 年）. サイバー犯罪に関する統計, February 2007. http://www.npa.go.jp/cyber/statics/h18/pdf35.pdf (visited May 1, 2007). 国民生活センター. オンラインゲームに関するトラブルが急増. 記者説明会資料, December 2005. 平成 17 年 12 月 7 日. Online version is available at http://www.kokusen.go.jp/news/data/n-20051207 2.html (visited August 21, 2006). Yamane and Baba (U-Tokyo) Security in MMOG CSS2007 14 / 16

• http://www.emeraldinsight.com/10.1108/10662240510602672
• http://iit-iti.nrc-cnrc.gc.ca/iit-publications-iti/docs/NRC-47401.pdf
• http://www.npa.go.jp/cyber/statics/h18/pdf35.pdf
• http://www.kokusen.go.jp/news/data/n-20051207_2.html
• #p1

まとめ 参考文献 References II Greg Hoglund and Gary McGraw. Exploiting Online Games: Cheating Massively Distributed Systems. Addison-Wesley, July 2007. 山根信二, 馬場章. コンピュータゲームソフトウェア産業の成立: ホビイストに注目したコンピュータ史の試み. ゲーム学会第 3 回全国大会講演論文集, pp. 21–25. ゲーム学会, November 2004. 山根信二, 馬場章. アプリケーションソフトウェアのビジネスモデルの起源: 黎明期のホビイスト市場に注目して. 電子情報通信学会 技術研究報告, Vol. 104, No. 343, pp. 7–12, October 2004. SWIM2004–10. 山根信二, 馬場章. オンラインゲームのセキュリティ: サーベイおよび今後の展望. 情報処理学会研究報告, Vol. 2007, No. 48, pp. 85–89, May 2007. 2007-CSEC-37(15). Yamane and Baba (U-Tokyo) Security in MMOG CSS2007 15 / 16

• #p1

まとめ Discussion Thank you email: [email protected] Yamane and Baba (U-Tokyo) Security in MMOG CSS2007 16 / 16

• #p1