コラム

ゲームの不正ログイン事例から学ぶ：メール認証の脆弱性とその対策

近年、オンラインゲームにおける不正ログイン事例が急増しています。特に、複数のサービスで同じIDとパスワードを使い回しているユーザーが狙われ、メール認証の脆弱性が悪用されるケースが多くなっている状況です。本記事では、具体的な不正ログイン事例を取り上げ、どのようにメール認証の脆弱性が利用されているかを詳しく解説するとともに、効果的な対策方法を紹介します。 1.オンラインゲームにおける不正ログインの事例 ユーザーのアカウントが不正にアクセスされることで、個人情報の漏洩やゲーム内資産の損失、不正課金等の被害が発生しています。ここでは、具体的な不正アクセス事例を通じて、原因や被害の実態を確認していきます。 任天堂の事例 2020年4月24日、任天堂はオンラインアカウントに対する大規模な不正ログイン事件を発表しました。攻撃者は、他のサービスから流出したIDとパスワードを使用してアカウントにアクセスし、クレジットカードやPayPalを不正利用したものです。被害を受けた可能性があるアカウントは30万に達し、この事態を受けて任天堂はセキュリティ対策として一部のログイン機能を廃止し、被害アカウントのパスワードリセットを実施しました。不正取引が行われたアカウントは全体の1%未満であり、大半のユーザーには返金手続きが完了しています。 Klabの事例 2021年10月27日、ソーシャルゲーム事業を展開するKLab株式会社は、同社が提供する「KLab ID」に対するサイバー攻撃により、2,846件のユーザーアカウントが不正ログイン被害を受けたと発表しました。外部から流出したパスワード情報等を流用するサイバー攻撃「パスワードリスト攻撃」の可能性が高いと分析しています。閲覧された可能性のある情報には、メールアドレスや生年月日などの登録情報、連携アプリの情報が含まれていましたが、パスワード情報は復元不可能な形で保管されているため流出は確認されていないとしています。 警察による注意喚起 不正アクセスが多発していることを受け、警察も注意喚起を呼びかける事態となっています。例えば、鳥取県警察は、ゲームのログイン履歴を確認し、身に覚えのないログインがないかチェックすることを推奨。ログイン履歴の見方がわからない場合は、画面を印刷するかデジカメで撮影して最寄りの警察署に相談するよう呼び掛けています。IDとパスワードの使い回しは非常に危険であり、オンラインゲームだけでなくネットバンキングなど他のサービスでもパスワードの使い回しを避けることが特に強調されている予防策です。 2.メール認証の脆弱性が不正ログインを招く オンラインゲームにおける不正ログインの原因として、メール認証の脆弱性が大きな問題となっています。多くのサービスでは、パスワードを忘れた際にメールアドレスを使ってパスワードをリセットする機能が提供されていますが、実はこの機能が不正アクセスの温床となっているのです。以下では、メール認証の脆弱性がどのように不正ログインを招くのか、その仕組みと問題点を詳しく見ていきましょう。 パスワード再設定機能がメール認証の弱点 メール認証の最大の問題点は、ユーザーのメールアカウントが攻撃者に乗っ取られた場合、パスワード再設定機能を通じて簡単にゲームアカウントへの不正アクセスが可能になってしまうことです。 攻撃者はまず、フィッシングやマルウェアなどの手法を用いて、ユーザーのメールアカウントのログイン情報（IDとパスワード）を入手します。そして、そのメールアカウントを使って、ゲームサービスのパスワード再設定ページにアクセスします。 多くのゲームサービスでは、パスワードを忘れた場合、登録済みのメールアドレスに再設定用のリンクを送信する方式を採用しています。攻撃者は、このリンクをクリックし、新しいパスワードを設定することで、ゲームアカウントを乗っ取ることができてしまうのです。 このように、メールアカウントさえ乗っ取られてしまえば、メール認証を突破するのは容易であり、ゲームアカウントへの不正アクセスを防ぐことは非常に困難です。メールアカウントのセキュリティが破られた時点で、メール認証の意味がなくなってしまいます。 ゲームユーザーにおけるパスワードの使い回しの問題 メール認証の脆弱性が特に問題となるのは、ゲームユーザーの多くがパスワードを使い回す傾向があるためです。 ゲームユーザーの中には、複数のゲームサービスやソーシャルメディアで同じメールアドレスとパスワードを使用している人が少なくありません。特に若年層のユーザーは、利便性を重視するあまり、複数のサービスで同じログイン情報を使い回してしまうことが多いのです。 この状況では、たとえ一つのサービスから情報が流出しただけで、他のサービスのアカウントも危険にさらされることになります。攻撃者は、流出したメールアドレスとパスワードの組み合わせを使って、別のゲームサービスへのログインを試みます。パスワードが使い回されていれば、そのまま不正アクセスに成功してしまうのです。 ガンホーの事例でも、利用者のメールアカウントが不正アクセスにより乗っ取られるケースが多発していました。これは、ユーザーがパスワードを使い回していたために、他のサービスから流出したログイン情報が悪用された可能性が高いと考えられます。 3.不正ログインへのゲーム会社の対処 任天堂：二段階認証 任天堂では二段階認証の設定が任意で可能となっています。二段階認証は、パスワードに加え、スマートフォンの「Google Authenticator」アプリで生成される6桁の認証コードを入力する仕組みです。認証コードは一定時間ごとに更新され、毎回変化し再利用できません。 利用するには、スマートフォンに「Google Authenticator」アプリをダウンロードし、ニンテンドーアカウントのセキュリティ設定ページからQRコードをスキャンしてアプリと連携します。IDとパスワードが漏洩しても認証コードがなければログインできないため、不正アクセスを防ぎ、アカウントのセキュリティを大幅に強化します。 一方で、この方法はゲームユーザーのようなデジタルツールに慣れたユーザーには問題ありませんが、比較的年齢層が高いユーザーを抱える事業者には操作の難易度が高く、敬遠される可能性があります。 ガンホー：電話認証...