ビデオゲーム業界がどのように，そしてなぜ狙われるのか，また被害にあわないためにできる具体的な対策について，専門家が解説する


　これまでの常識では，あなたのビジネスがサイバー犯罪者に狙われるのは，時間の問題だと考えられている。

　Insomniacの従業員は，ランサムウェアグループが1.67テラバイトのデータをダークウェブ上に掲載するという，ゲーム業界史上で最も壊滅的なハッキングの1つに揺れ動いた。昨年6月，ハッカーはBlizzardを分散型サービス妨害（DDoS）攻撃で襲い，プレイヤーは最大で12時間「ディアブロ IV」にアクセスできなくなった。このほか，「S.T.A.L.K.E.R. 2」の開発会社であるGSC Game Worldに対する「絶え間ない」サイバー攻撃や，Riotに対するランサムウェア攻撃，2022年3月に発覚したUbisoftに対する攻撃など，数え切れないほどの事例がある。

　ビデオゲーム業界は，その成長に伴って，ますます有力なターゲットとなっている。金儲けのためであれ，競争で優位に立つためであれ，あるいは政治のためであれ，ハッカーの目的は大企業やAAAスタジオを屈服させることだ。昨年発表された画期的なAkamaiのレポートによると，ゲーム業界に対するWebアプリケーション攻撃は2021年から2022年にかけて167％増加している。これは，ゲーム業界のセキュリティリスクを明らかにした同社の過去の調査に基づく数字だ。

　しかし，これはほんの一例に過ぎない。実際，デベロッパやパブリッシャは，経済界のほかの企業とは違ったリスクや攻撃に直面している。彼らは，サイバー攻撃の被害者としてニュースの見出しを飾る前に，さまざまな攻撃方法に対処し，サイバーセキュリティへの取り組みを強化するための具体的な対策を講じなければならないのだ。

　この記事では，ゲーム業界へのサイバー攻撃の背景にある理由，ゲーム会社が直面する可能性のある攻撃の種類，そしてそれらを防ぐ，あるいは影響を最小限に抑える方法について探っていく。

• ゲーム業界特有のリスクとは
• どのようなゲーム会社が高リスクなのか
• 業界が直面する一般的な攻撃方法とは
• サイバー攻撃がもたらす結果とは
• サイバー攻撃を受けたらどうすべきか
• 業界は直ちにどのような対策を講じるべきか

ゲーム業界特有のリスクとは

　業界内には，サプライチェーンにおける役割だけでなく，事業規模によってもさまざまな違いがあることを踏まえると，業界全体を均質なものと考えるのは間違いだ。しかし，ゲーム会社には特有のリスクがある。

プレイヤーは格好の標的

　「何百万人ものユーザーがスキンやキャラクターの強化にお金を使うプラットフォームで，ハッカーが彼らのクレジットカードのデータ，氏名，住所，生年月日にアクセスすることを想像してみてください」とSonicWallの脅威検知エキスパートであるBobby Cornwell氏は言う。「ハッカーはゲーム開発者だけでなく，各アカウントの保有者にも身代金を要求できます」

　Freethsのパートナー弁護士であるWill Richmond-Coggan氏もまた，特にマイクロトランザクションの量という観点で，「おそらく平均よりも裕福な，自己選択による被害者グループ」がいることを指摘している。「すでに購買意欲のある人々を見ているでしょう。完全にデジタル化されたやり取りがあるため，実店舗での取引とは違って，その関係性におけるさまざまな段階にリスクがあります」

ゲーム会社は技術主導

　テクノロジーもまた，この業界の運営方法の核心である。PromonのテクニカルディレクターであるAndrew Whaley氏は，ゲーム会社もほかのオンライン企業と同じ問題にさらされていると指摘する。「従業員が自宅で仕事をするようになると，攻撃の手段が増えます」と彼は言う。「ゲーム業界には深刻なクラッキング問題があり，これは率直に言ってソフトウェア業界全体を悩ませています」

「（開発者にとって）セキュリティの優先順位は非常に低いのです。特定のフレームレートを達成するために，超最適化が必要なものであれば，セキュリティを確保し，迅速に情報を伝達することは，ますます難しくなります」
Justin Cappos氏（ニューヨーク大学）

　「しかし，ゲームのサイバーセキュリティには，チート対策など独自の側面が数多くあるのです。ゲームは，特に海賊版からゲームコードを保護することを目的として，エンドポイントプロテクションやアプリケーションシールドに頼っていますが，これは改ざんやクライアントに埋め込まれたチートも防いでくれます」

　Detectifyの製品部門で暫定的なヴァイスプレジデントを務めるDanwei Tran Luciani氏によると，これはゲーム会社がパブリックまたはハイブリッドのクラウドプラットフォームに大きく依存しているという事実と組み合わせて考えられる。「クラウド技術の導入が進んでいる業界内の企業とは異なり，ゲーム会社は大規模で複雑なクラウドシステムを管理するために必要な人材を積極的に募集しています」

セキュリティは決して重要な優先事項ではない

　ゲーム会社は先進的だが，セキュリティは常にほかのプレッシャーの陰に隠れてきた，とニューヨーク大学（NYU）のコンピュータサイエンスエンジニアリング学部のJustin Cappos教授はGamesIndustry.bizに語る。

Justin Cappos氏（ニューヨーク大学）

　「ゲーム業界は一般的に，かなり薄利多売で運営されています」と彼は言う。「ゲームが成功するかしないかを決めるのは，ゲームの面白さ，グラフィックの質，物事のスピード感などです。セキュリティの優先順位は非常に低いのです。毎秒何フレームというような超最適化が必要なものであれば，セキュリティを確保し，迅速に情報を伝達することは，ますます難しくなります」

　「すべてのゲームデザイナーが，ゲームのリリースまでに20年かけられるなら，これらの問題を解決するのに十分な時間があります。しかし，ビジネスの現実はそうではないのです」

　PromonのWhaley氏もこれに同意し，ゲームはパフォーマンスに非常に敏感であり，タイトルは可能性の限界を押し広げようとしていると付け加えた。「これは特に対戦型のマルチプレイヤーゲームで顕著ですが，待ち時間が発生するとゲームが成立しなくなります」と彼は語る。「その結果，ゲーム分野は，おそらくソフトウェア業界におけるどの分野よりも，セキュリティとパフォーマンスの間で古典的な妥協を示しています。最適なバランスを実現するためには，アプリセキュリティベンダー，アンチチートベンダー，そしてゲーム開発者自身が，最高品質の仕事と絶え間ないイノベーションに取り組むことが求められます」

どのようなゲーム会社が高リスクなのか

　一般的に，オンラインゲームやモバイルゲームを開発，運営，キュレーションしている企業は，シングルプレイヤー体験に注力している企業よりも，より大きなリスクにさらされる傾向にあるというのが専門家の見解だ。DetectifyのLuciani氏は，複数の地域で複数のブランドを展開している企業も，より大きなリスクにさらされる傾向にあると付け加えている。

　「小規模なインディーズ企業は通常，いっぺんに1つか2つのプラットフォームで数本のゲームしかリリースしません」とWhaley氏は言う。「このような会社にとって，最悪の事態は発売直後にゲームがクラックされることです。一方，大企業であれば，ゲームにオンライン要素が含まれている可能性が高いです」

　Cappos氏は，これらのビジネスが直面する脅威について，具体的に詳述する。「基本プレイ無料のMMORPGであれば，プレイヤー間の悪用行為が懸念されます。そこにマイクロトランザクションがある場合，その仕組みの一部がどのように機能するのか，そして人々がアカウントを育成し，販売することが問題となります」と彼は説明する。単にリスクがあるということだけでなく，リスクや被害の度合いが重要なのだと彼は続ける。

Will Richmond-Coggin氏（Freeths）

　「私が好きなシングルプレイヤーゲームのワールドリーダーボードに，ありえないほどの高得点を載せても，その被害はほとんどありません。あなたが私のクレジットカード情報を取得し，私のマシンにランサムウェアをインストールし，私がコンピュータを使えなくなることの被害は本当に大きいです。あるいは，クレジットカード情報を保管しているゲーム会社に侵入し，クレジットカードのデータベースを持ち出すことの被害は甚大です。そのようなことが起こらないようにしたいので，こうした分野に集中する必要があるのです」

　Richmond-Coggan氏によれば，この分野の企業の多くは，その責任を非常に重く受け止めているが，中には本当に無頓着な企業や，別の目的のためにわざわざデータを収集しようとする企業もあるという。これは，モバイルゲームのシーンを見ると特に顕著である。

　「無料で手に入れたゲームと一緒に，スパイウェアをインストールしようとしていないか，そのソフトウェアをインストールすることでハッカーを招き入れていないかを，十分に注意しなければなりません」と彼は警告する。「AndroidもiOSも，アプリの精査においてかなり良くなってきていますが，比較的簡単に回避される傾向にあるのが現実です」

業界が直面する一般的な攻撃方法とは

　ゲーム業界に存在する多様性と，この分野の企業が使用するさまざまなデジタルインタフェースを考慮すると，攻撃対象範囲はきわめて広い。しかし，この分野で見られる一般的な攻撃方法がいくつかある。

分散型サービス妨害（DDoS）

　マルチプレイヤーゲームに対する，ほとんどの攻撃はDDoSだ。これはゲームプレイを中断させ，収益の損失と顧客の信頼の喪失につながると，SonicWallのCornwell氏は語る。Whaley氏によると，これはサービスを妨害する一般的なアプローチであり，業界がクラウドゲームに初めて進出した2000年台初頭に可能になったものだという。

　「この技術は，対戦型のマルチプレイヤーゲームを妨害するために使用でき，複数の発信源にあるデバイスでターゲットを砲撃し，不要なトラフィックでネットワークを圧倒することで機能します」と彼は説明する。

「もし，企業がプレイヤーに安全な体験を提供できなければ，信頼は損なわれ，ゲーム内経済が弱体化し，売上が減少します」
Andrew Whaley氏（Promon）

　DDoS攻撃は，Cornwell氏が言うところの「迷惑攻撃」である。データが盗まれるわけではなく，サイバー犯罪者がプラットフォームを混乱させ，収益に影響を与える。結果として，ユーザーが不満を感じ，ほかのタイトルに移ってしまうため，ユーザーを失うことにもつながる。

脆弱性と設定ミス

　この業界では，時代遅れの弱いセキュリティシステムがまん延しており，これは悪用されやすい脆弱性だとLuciani氏は主張する。「自作のものであれ，新たに獲得した技術を組み込んだものであれ，多くのシステムは設定ミスを抱える傾向にあり，それは攻撃者にとっての好機でもあります」と彼女は言う。

　「一般的に，未知で無防備な攻撃対象範囲は，重大なセキュリティ事件につながる多くの攻撃の経路となります。これには，期限切れのSSL証明書，乗っ取られた未知のサブドメイン，Webサイトのクロスサイトスクリプティングなどが考えられます」

　また，開発者が使用したオープンソースコードに埋め込まれた，バックドア型マルウェアによる侵害も起こりうる。

データベースの脆弱性とクレデンシャルスタッフィング

　業界を問わず，多くの企業が構造化照会言語（SQL）を使ってデータベースを構築・管理している。SQLインジェクションは，「悪質な行為者がゲーム内の脆弱性を悪用し，敵対的なコードを注入（インジェクト）するものです」とWhaley氏は言う。「そこから，ハッカーはログイン情報，カード情報，さらにはプレイヤーのアカウントやインベントリへのアクセス権を盗めます」

　通常，そのあとにクレデンシャルスタッフィング攻撃が続き，サイバー犯罪者は奪ったクレデンシャル（認証情報）を使って，ソーシャルメディアなど，ユーザーのほかのオンラインアカウントに総当たり（スタッフィング）でアクセスする。

MITMとサーバー侵入

　ウォールハックとも呼ばれる中間者（MITM）攻撃は，ハッカーがゲームとサーバーの間に密かに入り込み，通信を改ざんするものだ。通常，このような攻撃を仕掛けるのは，企業に潜入するためではなく，オンラインゲームで優位に立つためである。

　「このデータを傍受することで，悪質な行為者はゲームのさまざまな要素を変更できます。これは，シューティングゲームの衝突検出ロジックを操作して，ヒットを回避したり，ヒットを保証したりするなど，不当な利益を生み出すためによく使われます。MITM攻撃によって，モデルデータの透明度を変更し，壁を通り抜けたり，移動したりすることも可能です」とWhaley氏は言う。

「もし，ハッカーが（プレイヤーの）クレジットカードデータ，名前，住所にアクセスすれば……ハッカーは開発者だけでなく，各アカウントの保有者にも身代金を要求できます」
Bobby Cornwell氏（SonicWall）

　FreethsのRichmond-Coggan氏は，企業が新しいサーバーに移行する際にも攻撃が行われる可能性があると付け加えている。「既存のデータセンターが手狭になり，より堅牢なものに移行する必要があるのかもしれません。移行中のデータは非常に脆弱で，しばしば危険にさらされます」と彼は示唆する。

ランサムウェア攻撃

　この業界がランサムウェアの危険にさらされているのは確かだが，サイバー犯罪者は通常，ゲーム会社を特別に狙ってランサムウェアを仕掛けることはない。

　Richmond-Coggan氏は言う。「ソフトウェアを書いては世に出し，その行き着く先がどこであろうと気にしない人たちが確かにいます。ランサムウェア攻撃の多くは，このカテゴリに入ります」

　Cappos氏は，誰もがある程度のリスクを負っているが，それは「おそらく実質的なリスクではない」と付け加えた。「開発しているとき，バージョン管理システムを使い，バックアップを取っているはずです。複数人で開発をしている場合は，インフラに十分なバックアップがあるので，おそらく大丈夫でしょう」

サイバー攻撃がもたらす結果とは

　企業の規模にかかわらず，サイバー攻撃は「常に収益を悪化させる」とWhaley氏は言う。これは，専門家に聞いた国勢調査のようなものだ。企業は収益を失う可能性があるだけでなく，例えばサイバー攻撃を期限までに報告しなければ規制に抵触し，巨額の罰金が課せられる可能性もある。

Danwei Tran Luciani氏（Detectify）

　「もし，企業がプレイヤーに安全な体験を提供できなければ，信頼は損なわれ，ゲーム内経済が弱体化し，売上が減少します」とWhaley氏は付け加える。「熱狂的なファンは，しばしばゲームの成功の原動力となります。しかし，盗まれる可能性のある，装備品や金銭などのゲーム内資産を豊富に持っているため，最も狙われるアカウントとなります」

　「開発者が最も貴重で忠実な顧客を守れない場合，そのうわさはすぐにゲーム内コミュニティで広まります。ご想像の通り，これはゲームの健全性と寿命に深刻な影響を及ぼします」

　例えば，「ディビジョン」が「ハッキングの横行」によってプレイヤーの流出を経験したとき，Ubisoftへの攻撃の影響は大きく見えたかもしれないが，通常，こうした企業が倒産するほど大きな影響はない。

　「中小企業にとっては，たとえ小さな攻撃であっても，結果は悲惨なものになりかねません」とWhaley氏は言う。「小規模なスタジオには，いっぺんに1つのゲームしかリリースする予算がないことが多く，そこからの収益が次のゲームの開発資金となります。つまり，うまく仕組まれたサイバー攻撃によって，小規模なインディーズスタジオが倒産する可能性があります」

サイバー攻撃を受けたらどうすべきか

　もし，あなたの会社がサイバー攻撃のターゲットにされた場合，その影響を最小限に抑えるためにやるべきことがいくつかある。

　Richmond-Coggan氏は，ゲーム会社など，データやプライバシーが重視される技術に取り組む企業のアドバイザーとして活動している。彼は，データ侵害を経験したクライアント企業へと定期的にアドバイスしており，その実体験に基づき，次のような指針を提供している。

　「即座に，ビジネス上の優先事項だと考えられていたものはどうでもよくなり，すべてを生き残ることのみに集中することになります」と彼はGamesIndustry.bizに語った。「このような攻撃は，それを受けている企業にとって，存続の危機をもたらす可能性があると言っても過言ではありません」

Andrew Whaley氏（Promon）

　多くの場合，攻撃はスタジオがゲームの完成版を納品する直前のタイミングにあわせて行われる。ランサムウェアであれば，すべてのデジタル資産，彼らが取り組んできたすべてのものから締め出されてしまう。

　ランサムウェアが発生した場合，すべてのデジタル資産，つまり会社が取り組んできたすべてのものから締め出され，スタジオは開発途中のあらゆるものを失うことになる。身代金がいくらであろうと，それを支払わない限り。

　「お金を払えば期限に遅れず，マーケットを逃さないという誘惑があります」と彼は続ける。

　このような事態は，クリスマスを目前に控えた時期によく起こると彼は指摘する。システムの復旧に数週間を費やすことは，販売の最盛期を逃すことを意味するのだ。これはビジネスに大きな影響を与える可能性がある。

　たとえ企業がバックアップを復元できたとしても，サーバーをきれいにして復旧できたとしても，あるいは身代金を支払ったとしても，混乱は長引く可能性がある。「まず第一に，攻撃の引き金となったソフトウェアや，システムへのアクセスに使われたソフトウェアが，いつまで残っているのかが分かりません」と彼は説明する。

　「どれだけの期間，休眠状態になっているのかが分かりません。マルウェアの痕跡や，攻撃の一部として設定された認証情報をすべて消去するために，徹底的なディープクリーニングを行う必要があります。これには，かなりの時間がかかります」

「クラウド技術の導入が進んでいる業界内の企業とは異なり，ゲーム会社は大規模で複雑なクラウドシステムを管理するために必要な人材を積極的に募集しています」
Danwei Tran Luciani氏（Detectify）

　個人情報に影響を与えるような深刻な攻撃であれば，企業はその所在地によっては，規制当局と個人の両方に通知しなければならない。一般的には，時期によって（例えばクリスマス）不愉快な反応が強まる可能性があるため，迅速にそれを行う必要がある。それは悪評にもつながるが，それだけではない。

　「それは，その人たちがあなたに再び情報を託すかどうかということです。人々はますます，このようなことに行動で示すようになっています」

　そうなると，長期的な修復コストが発生することになるとRichmond-Coggan氏は続ける。「もし，規制当局が興味を持っていたら，おそらく彼らはあなたのシステムを調べてこう言うでしょう。『ああ，これは実際に基準を満たしていませんね。運用を続けたい場合は，より高度な安全対策に投資する必要があります』と。クレジットカード情報が盗まれたことで被害を受けた人々に，補償をしなければならないかもしれません」

「S.T.A.L.K.E.R. 2」の開発会社であるGSC Game Worldは，昨年サイバー攻撃を受けた多くのスタジオの1つだ

業界は直ちにどのような対策を講じるべきか

　サイバー攻撃から業界とその顧客を守るために，専門家が推奨する重要な対策がいくつかある。これには，以下のような実践的な対策が含まれる。

サイバーセキュリティ文化の転換をうながす

　ゲーム会社は，セキュリティをブロッカーではなく後援者としてとらえ，開発の領域にサイバーセキュリティの要素を組み込んだレイヤーアプローチを実施すべきである。また，特にライブサービスのゲームでは，アップデートの開始を遅らせないようなセキュリティの実装を計画しなければならない。

従業員の教育

　すべての脅威と，発生する可能性のある脅威の種類を従業員に認識させるようにCornwell氏は言う。そうすることで，彼らの警戒心が高まるのだ。

Bobby Cornwell氏（SonicWall）

情報セキュリティ衛生の基本を徹底する

　しばしば忘れられがちだが，企業は単純なプロセスを確実に処理する必要があるとRichmond-Coggan氏は語る。「例えば，ある企業が全ユーザーのリポジトリを持っている場合，さまざまなプラットフォームから誰でもアクセスできるようにしたいと思い，実際に堅牢な保護を実施するよりも，利便性を高めることを優先するかもしれません」

ゲーム開発を監督する専門のセキュリティチームを設置する

　Whaley氏は，開発中のゲームのすべての主要機能を監督するチームをスタジオに設置することを勧めている。有能なゲーム開発者であっても，サイバーセキュリティの専門家であることはまれである。一方，よく練られたゲームアーキテクチャがあれば，ほとんどのサイバーセキュリティ問題は回避できる。

PCI-DSSに関する業界ガイドラインに従う

　これらのガイドラインは，カード会員データを保管する企業のために，それを保護し，最適化するものだ。外部のプラットフォームやコンソールへの接続は，厳格なセキュリティを念頭に置く必要があり，データログを監視して，初期違反の指標となるような異常な動作がないことを確認する必要がある。

ユーザーやIPを同等に保護することを忘れない

　Whaley氏は，モバイルファーストゲームへの移行に伴い，主な収入源としての有料追加コンテンツへの依存が，IPの保護を犠牲にしてトランザクションの完全性を優先させることにつながったと指摘する。どちらも重要であり，バランスを取る必要があると彼は言う。

メディアに過剰なアピールをしない

　世間やほかの業界関係者が，プライバシーとセキュリティの重要性をますます認識しているため，業界関係者の多くはそれについて「大風呂敷を広げたがる」かもしれないとRichmond-Coggan氏は付け加える。「しかし，もし彼らがそのことを話し始めたときに，実際には保護を導入していないのであれば，彼らが実際に行っていることは脆弱性の開示にすぎません」

継続的な監視

　企業は常にサーバーを拡張し，インフラを変更しているため，攻撃対象範囲の監視はパフォーマンスを保証するために不可欠だ。本番環境を継続的にテストする場合，脆弱性を特定し，見つかった時点で優先的に修正する必要がある。

「このような攻撃は，それを受けている企業にとって，存続の危機をもたらす可能性があると言っても過言ではありません」
Will Richmond-Coggin氏（Freeths）

設計による不正防止

　多くのスタジオは，開発の初期段階にアンチチート機能を組み込むことで，サイバー攻撃を軽減できる。ゲームが半分以上出来上がってから防御について考えるのでは，時すでに遅しだとWhaley氏は強調する。この時点で，予防可能な脆弱性がゲームに埋め込まれている可能性がある。

社内のサイバーセキュリティテスト

　特にAAAスタジオのような企業は，セキュリティチームを持たなければならず，QA（品質保証）の一環として定期的にテストを行うべきだとCappos氏は言う。そうしないのは怠慢である。何をテストすべきかについては，支払いに関連するもの，RCE（リモートコード実行），マシンに危害を加える可能性のあるもの，金銭がかかる可能性があるものなどである。Cappos氏は，企業はサイバーセキュリティ業務をサイバーセキュリティベンダーにアウトソーシングするのではなく，社内で行うことが理想的であると提言している。

さらなるファジングの実行

　Cappos氏はまた，より多くのファジング（不具合や欠陥を明らかにするために，システムに破損した入力や無効な入力を注入する自動テスト）を実行することを望んでいる。多くのタイトルで発売後のバグが多発していることから，彼は業界がもっと定期的にファジングを実施できるのではないかと感じている。これはより一貫して適用される必要があり，ネットワーク上に置くものは何でもファジングされる必要があると彼は言う。

リアルタイムバックアップの保証

　リアルタイムでデータをバックアップし，悪意のあるソフトウェアが組み込まれてバックアップされた場合に，そのデータへとアクセスして取り除けるような能力を持つことは非常に重要だ。

設計によるデータ最小化の採用

　企業は，どれだけの情報を本当に保存する必要があるのかを，もっとよく考える必要があるとRichmond-Coggan氏は語る。企業が保存しているすべての記録は，潜在的なターゲットであり，ユーザーに求める可能性のあるすべてのデータについて評価を実施しよう。

支払い情報の取り扱いには十分に注意する

　Cappos氏は，支払いの詳細を尋ねる際の責任を，組織が真剣に受け止める必要性を強調する。「もしあなたが，支払いを受け付けたり，金銭の授受を行ったりするのなら，ほかの組織や団体と同じレベルの注意を払い，実践する必要性が100％あります。それは間違いなく100％です」

支払いのアウトソーシング―大企業でない限り

　Cappos氏のアウトソーシング原則の例外は，顧客の金銭データと接点がある場合だ。ParadoxやEAのような大手パブリッシャは，SteamやAppleのような方法でこれを処理する，強固なシステムを持っているかもしれない。しかし，そうでない場合は，業界の巨人がプラットフォームを通じてビジネスの側面を処理するのに任せたほうが得策だ。

最新作だけでなく，すべてのタイトルに定期的なセキュリティパッチを配信する

　多くのタイトルはセキュリティパッチを受けるが，5年，あるいは10年前のタイトルをないがしろにしてはいけないとCappos氏は言う。これらのタイトルには，まだかなりのユーザー層が存在し，企業には顧客に対する注意義務がある。企業は，使用したソフトウェアライブラリの脆弱性を探し，問題が発生した場合は，定期的にアップデートを配信しなければならない。

GamesIndustry.biz ACADEMY関連翻訳記事一覧