防御せよ:ゲームのセキュリティ確保は真のバトルロイヤル
データ分析:Camila Cabrera Camacho
コピー編集:Maria Vlasak
専門知識を提供してくださった Chris Finch、Alan Evans、Dan Greer、Ken Eaton、Todd Loewenstein に感謝いたします
ゲーム業界は、現代の最も影響力のある業界の 1 つと言えます。全世界で 25 億 8,000 万人のビデオゲーマー を抱え、 1,844 億米ドルの市場規模があると評価されているこの巨大産業は、成長の一途をたどっていると同時に、世代を経るたびにテクノロジーへの依存を強めています。 この 3 部構成のブログ記事シリーズでは、いくつかの異なる視点からゲームのすばらしい世界について検討します。
この第 1 部の記事では、過去 18 か月間(2023 年 1 月~2024 年 6 月)の統計データを振り返りながら、セキュリティ上の課題に着目します。
第 2 部の記事では、3D へと話題を移し、ゲームの背後(画面の両側)にいる人々について論じます。
☁️ 最後の記事となる第 3 部では、シリーズの締めくくりとして、 クラウド分散型ゲームの技術面について取り上げます。
セキュリティ専門家が知っておくべきこと
ゲーム業界の最も興味深いことの 1 つは、セキュリティに関して独自の立場にあることです。プレイヤーと開発者の両方にとって、至るところにサイバーの地雷が埋まっています。平均的なゲーマーは、他の業界のほとんどの消費者よりもテクノロジーに精通しています。つまり、ゲーム業界の「インサイダー脅威」は、ネットワーク内またはデジタル世界内から発生する可能性があります。
また、この業界に特有の攻撃者プロファイルがあります。それは、 トラブルメーカーです。ストリーマーが気に入らないことを言ったら、トラブルメーカーはそのストリーマーをオフラインにするボットを構築します。また、トラブルメーカーはゲーム内で味方のふりをして信頼を築き、チャット機能を使って悪性のペイロードや URL を配信することもあります。
テクノロジーに精通した人々の良い面、悪い面、醜い面
ゲーム業界はプレイヤー間のオープン性とコラボレーションを大事にしています。また、その性質上、テクノロジーに対する考え方が、厳しいセキュリティ情勢とは対極にあります。セキュリティ分野では怪しいまたは悪性であるとみなされるふるまいが、ゲーム業界では一般的に行われているだけでなく、受け入れられ、奨励されています。たとえば、Mod はゲームカルチャーから切り離せない要素であり、ボットはゲームプレイの一部とみなされる場合があります。
セキュリティコミュニティは、自分たちにとって魅力的な戦術、テクニック、手順が悪行に利用される可能性があることをよく知っています。ゲームに関心のある人々と技術的なノウハウのある人々のベン図は重なっており、そのためルール破りと技術的発見の両方の機会が生まれます。
また、それは攻撃者の目標がさまざまであることを意味し、その違いが攻撃の傾向に影響を及ぼします。2 つの異なる領域の通貨を狙うことができるところが、ゲームの世界以外にあるでしょうか。その気になれば、それを同時に実行することさえできます。
このブログ記事では、過去 18 か月間にゲーム業界で見られたセキュリティ上の課題について説明します。
オンラインとオフラインでの略奪
プレイヤー対プレイヤーのサイバー上の懸念だけでなく、ゲーム業界は世界が直面しているその他すべてのセキュリティ上の課題に対処する必要があります。欲に駆られた攻撃者が金銭を狙うことは誰もが知っており、この業界は宣伝にネオンのドルマークを使用しているようなものです。
ご存知のとおり、サイバー脅威は必ずしも技術的なものではなく、悪性のふるまいは攻撃者だけのものではありません。一部のモバイルゲーム広告ターゲティングは、違法ではなくても、悪性または非倫理的であるように見える場合があります。しかし、もちろん、それは広告全般に当てはまることであり、ゲーム業界に固有のことではありません。目的にかかわらず、ターゲティング広告はプレイヤーの支出習慣に影響を与え、さらには攻撃者が次に向かう先にも影響を与えます。
サブスクリプション
ゲームメーカーはトリプル A(AAA)のタイトルを作成するのに何百万ドルもの費用がかかることを予想でき、そのコストは消費者にまで波及します。1 タイトルの価格が 60 米ドルから 70 米ドルに値上がりするのは軽微なことではなく、特に多数のサブスクリプションサービスが利用可能であることもあり、予算重視のゲーマーがゲームを購入するタイミング(またはすぐに購入するかどうか)に影響を及ぼす可能性があります。
類似のメディアジャンルと同様に、サブスクリプションサービスはゲームの世界でも一世を風靡しています。市場に出回っているゲームの数が非常に多いため、すべてを購入するのは経済的に不可能です。モバイルオプションを含め、現在利用可能なゲーム・サブスクリプション・サービスは 10 種類以上あり、 117 億米ドル の市場を奪い合っています。
攻撃に関する数学的考察
ここで、数学的に考えてみましょう。サブスクリプションサービスが増加すると、ユーザーアカウントが増加し、Credential Stuffing やアカウントの悪用の機会の増加につながります。さらに、偽装の対象となるブランドが増加するため、攻撃者がフィッシングキャンペーンなどの詐欺行為を行うために模倣するコンテンツが増えます。
サブスクリプション疲れが現実のものとなり、サービスのコストが増大します。また、占有する必要のある物理ストレージまたは仮想ストレージの容量の問題があります。
レイヤー 7 DDoS 攻撃が台頭
レイヤー 7 分散型サービス妨害(DDoS)攻撃は、前年比で 94% 増加しました。攻撃数は高止まりしており、18 か月の調査対象期間のうち 4 か月(2023 年 6 月、8 月、12 月、2024 年 5 月)では、単月で 250 億件以上のレイヤー 7 DDoS 攻撃が発生しました(図 1)。
図 1:月別のレイヤー 7 DDoS 攻撃数
2023 年 1~3 月はレイヤー 7 の攻撃数が最も少なく、各月 150 億件未満でした。このベクトルは著しい増加傾向にあります。2024 年 2 月には一時的に減少し、これまでのところ 2024 年で最も攻撃数の少ない月となっていますが、それでも 190 億件を超えています。つまり、 これまでのところ 2024 年で最も攻撃数の少ない月でも、2023 年 1 月、2 月、3 月、4 月よりもまだ攻撃数が多いということです。
APJ がレイヤー 7 DDoS 攻撃数でトップを独走
アジア太平洋・日本(APJ)地域は、2023 年のゲーム業界の グローバル収益 が最も多く(858 億米ドル)、この地域だけで 17 億 9,000 万人のプレイヤー がおり、全プレイヤー人口の 23% を占めています。これを考慮すると、ゲーム業界に対する APJ の影響力は甚大です。
APJ 地域にはそのような実績がありますが、今年はそれにレイヤー 7 DDoS 攻撃が最も多いという事実が加わり、過去 18 か月間の攻撃数は 1,860 億件を記録しました(図 2)。
図 2:2023 年 1 月 1 日から 2024 年 6 月 30 日までの地域別のレイヤー 7 DDoS 攻撃数
ボットリクエストが発生しやすい時期
1 月と 6 月
2023 年第 1 四半期から 2024 年第 1 四半期にかけて、ボットリクエストは 391% 増加しました。その水準には早い段階で達しており、 ゲーム業界では1,470 億件という記録的なボットリクエスト数と共に 2024 年の幕が開けました。たった 1 か月でこの数です (図 3)。
図 3:ゲームを標的とした月別のボットリクエスト数
6 月は 1 月に匹敵しており(1,450 億件)、2023 年 6 月の 3 倍以上でした。これらの数字を大局的に見ると、この調査対象期間全体でヨーロッパ・中東・アフリカ(EMEA)地域のボットリクエスト数はたったの 590 億件でした(図 4)。
図 4:過去 18 か月間の地域別のボットリクエスト数
夏と冬
Steam サマーセールが毎年 6 月と 7 月に行われるため、この 2 か月間で引き続き大量のボットトラフィックが発生する可能性があります。この説は、2023 年 12 月と 2024 年 1 月の Steam ウィンターセール期間に同様の傾向があったことにより裏付けられています。また、北米からのボットリクエストが最も多い(正確には 8,450 億件)ことも裏付けとなっています。
この 2 つの期間(6~7 月と 12~1 月)は支出の多い季節であり、オンラインアクティビティが増加する傾向があるため、攻撃者が飛びつくほど利益の出やすい時期です。これらの時期に、ゲーマー自身とゲーム会社は特に デジタル包囲攻撃 にさらされます。
Web アプリケーションファイアウォール攻撃
ゲーム業界では、2023 年第 1 四半期から 2024 年第 1 四半期にかけて Web 攻撃が 94% 増加しました。最も着実に増加したのは、Web アプリケーションファイアウォール(WAF)攻撃です。2023 年 5 月に大きく下落した後、前月比できれいな一貫した上昇トレンドを描いており、2024 年 6 月は 10 億件を突破しています(図 5)。
図 5:ゲーム業界に対する月別の WAF 攻撃数
2024 年 5 月と 6 月の前年比増加率は驚異的で、ぞれぞれ 451% と 504% でした。アプリケーションと API の使用が増加するにつれて、これらの数値は増加し続けると予想されます。
内訳:従来の Web 攻撃
これらの数字をさらに細分化して、従来の Web 攻撃(Structured Query Language インジェクション(SQLi)、コマンドインジェクション(CMDi)、ローカル・ファイル・インジェクション(LFI)、クロスサイトスクリプティング(XSS)、リモート・ファイル・インクルージョン(RFI)、サーバーサイド・リクエスト・フォージェリー(SSRF))だけを見てみると、調査対象期間においてゲーム業界にとって最大の脅威だった Web 攻撃は SQLi であり、攻撃数は 7 億件以上だったことがわかります(図 6)。これはゲーム会社に限った話ではなく、SQLi によって特定のゲーマーを ランキングのトップ にすることができます。
図 6:ゲーム業界におけるタイプ別の従来の Web 攻撃数
LFI は過去数年間でさまざまな業界において着実に増加してきました。LFI は他の Web ベースの攻撃(XSS など)につながる可能性があり、場合によってはリモートコード実行にもつながる可能性があります。これは確かにゲームメーカーが注意しなければならないことです。
SQLi は単に件数が多いだけでなく、驚くほど散発的であり、これはゲーム業界の性質を表しています。図 7 は、図 6 に示されている数字の月ごとの内訳を示しています。SQLi の線グラフを見ると、ぎくしゃくと動く一人称視点ゲームのプレイヤーのように酔ってしまいそうです。
図 7:ゲームに対する月別の従来の Web 攻撃数
2023 年第 1 四半期にはゲームが急速にリリースされました。これは、COVID-19 によって発生した滞りの一部です。パンデミックの影響でリリース日が次々と先送りされたため、それらのタイトルに対する需要が高まり、その期間中に SQLi が大幅に増加した可能性が高いです。また、SQLi の散発的な性質は、攻撃者の目標の違いを示している可能性があります。
北米の Web 攻撃数は桁違いに多い
人間にとって 100 万件と 10 億件の違いを推し量るのは困難であり、3 億 3,200 万件と約 90 億件の大きさの違いを気にする必要はありません。しかし、2023 年 1 月 1 日から 2024 年 6 月 30 日までに EMEA と APJ で発生した Web 攻撃の総数と北米で発生した Web 攻撃の総数には、それほど大きな差異があります(図 8)。
図 8:2023 年 1 月 1 日から 2024 年 6 月 30 日までの地域別の Web 攻撃数
クレジットロール