ゲームの不正ログイン事例から学ぶ:メール認証の脆弱性とその対策

不正アクセス
ゲームの不正ログイン事例から学ぶ:メール認証の脆弱性とその対策

近年、オンラインゲームにおける不正ログイン事例が急増しています。
特に、複数のサービスで同じIDとパスワードを使い回しているユーザーが狙われ、メール認証の脆弱性が悪用されるケースが多くなっている状況です。
本記事では、具体的な不正ログイン事例を取り上げ、どのようにメール認証の脆弱性が利用されているかを詳しく解説するとともに、効果的な対策方法を紹介します。

1.オンラインゲームにおける不正ログインの事例

ユーザーのアカウントが不正にアクセスされることで、個人情報の漏洩やゲーム内資産の損失、不正課金等の被害が発生しています。ここでは、具体的な不正アクセス事例を通じて、原因や被害の実態を確認していきます。

任天堂の事例

2020年4月24日、任天堂はオンラインアカウントに対する大規模な不正ログイン事件を発表しました。
攻撃者は、他のサービスから流出したIDとパスワードを使用してアカウントにアクセスし、クレジットカードやPayPalを不正利用したものです。
被害を受けた可能性があるアカウントは30万に達し、この事態を受けて任天堂はセキュリティ対策として一部のログイン機能を廃止し、被害アカウントのパスワードリセットを実施しました。
不正取引が行われたアカウントは全体の1%未満であり、大半のユーザーには返金手続きが完了しています。

Klabの事例

2021年10月27日、ソーシャルゲーム事業を展開するKLab株式会社は、同社が提供する「KLab ID」に対するサイバー攻撃により、2,846件のユーザーアカウントが不正ログイン被害を受けたと発表しました。
外部から流出したパスワード情報等を流用するサイバー攻撃「パスワードリスト攻撃」の可能性が高いと分析しています。
閲覧された可能性のある情報には、メールアドレスや生年月日などの登録情報、連携アプリの情報が含まれていましたが、パスワード情報は復元不可能な形で保管されているため流出は確認されていないとしています。

警察による注意喚起

不正アクセスが多発していることを受け、警察も注意喚起を呼びかける事態となっています。
例えば、鳥取県警察は、ゲームのログイン履歴を確認し、身に覚えのないログインがないかチェックすることを推奨。
ログイン履歴の見方がわからない場合は、画面を印刷するかデジカメで撮影して最寄りの警察署に相談するよう呼び掛けています。
IDとパスワードの使い回しは非常に危険であり、オンラインゲームだけでなくネットバンキングなど他のサービスでもパスワードの使い回しを避けることが特に強調されている予防策です。

2.メール認証の脆弱性が不正ログインを招く

オンラインゲームにおける不正ログインの原因として、メール認証の脆弱性が大きな問題となっています。
多くのサービスでは、パスワードを忘れた際にメールアドレスを使ってパスワードをリセットする機能が提供されていますが、実はこの機能が不正アクセスの温床となっているのです。
以下では、メール認証の脆弱性がどのように不正ログインを招くのか、その仕組みと問題点を詳しく見ていきましょう。

パスワード再設定機能がメール認証の弱点

メール認証の最大の問題点は、ユーザーのメールアカウントが攻撃者に乗っ取られた場合、パスワード再設定機能を通じて簡単にゲームアカウントへの不正アクセスが可能になってしまうことです。

攻撃者はまず、フィッシングやマルウェアなどの手法を用いて、ユーザーのメールアカウントのログイン情報(IDとパスワード)を入手します。
そして、そのメールアカウントを使って、ゲームサービスのパスワード再設定ページにアクセスします。

多くのゲームサービスでは、パスワードを忘れた場合、登録済みのメールアドレスに再設定用のリンクを送信する方式を採用しています。
攻撃者は、このリンクをクリックし、新しいパスワードを設定することで、ゲームアカウントを乗っ取ることができてしまうのです。

このように、メールアカウントさえ乗っ取られてしまえば、メール認証を突破するのは容易であり、ゲームアカウントへの不正アクセスを防ぐことは非常に困難です。
メールアカウントのセキュリティが破られた時点で、メール認証の意味がなくなってしまいます

ゲームユーザーにおけるパスワードの使い回しの問題

メール認証の脆弱性が特に問題となるのは、ゲームユーザーの多くがパスワードを使い回す傾向があるためです。

ゲームユーザーの中には、複数のゲームサービスやソーシャルメディアで同じメールアドレスとパスワードを使用している人が少なくありません。
特に若年層のユーザーは、利便性を重視するあまり、複数のサービスで同じログイン情報を使い回してしまうことが多いのです。

この状況では、たとえ一つのサービスから情報が流出しただけで、他のサービスのアカウントも危険にさらされることになります。
攻撃者は、流出したメールアドレスとパスワードの組み合わせを使って、別のゲームサービスへのログインを試みます。
パスワードが使い回されていれば、そのまま不正アクセスに成功してしまうのです。

ガンホーの事例でも、利用者のメールアカウントが不正アクセスにより乗っ取られるケースが多発していました。
これは、ユーザーがパスワードを使い回していたために、他のサービスから流出したログイン情報が悪用された可能性が高いと考えられます。

3.不正ログインへのゲーム会社の対処

任天堂:二段階認証

任天堂では二段階認証の設定が任意で可能となっています。
二段階認証は、パスワードに加え、スマートフォンの「Google Authenticator」アプリで生成される6桁の認証コードを入力する仕組みです。
認証コードは一定時間ごとに更新され、毎回変化し再利用できません。

利用するには、スマートフォンに「Google Authenticator」アプリをダウンロードし、ニンテンドーアカウントのセキュリティ設定ページからQRコードをスキャンしてアプリと連携します。
IDとパスワードが漏洩しても認証コードがなければログインできないため、不正アクセスを防ぎ、アカウントのセキュリティを大幅に強化します。

一方で、この方法はゲームユーザーのようなデジタルツールに慣れたユーザーには問題ありませんが、比較的年齢層が高いユーザーを抱える事業者には操作の難易度が高く、敬遠される可能性があります。

ガンホー:電話認証

ガンホーゲームズの利用者のログインIDだけでなく、メールアカウントも不正アクセスにより乗っ取られる事例が多発したことを問題視し、メール認証では十分な安全性が確保できないと判断しました。
メール認証は廃止し、ワンタイムパスワード(OTP)やIDロックと組み合わせる形で電話認証を導入しています。
利用者は事前に電話番号を登録し、ログイン時にガンホーからの自動音声通話を受け、その指示に従って認証を完了する仕組みです。

ただし、すべての操作に電話認証を導入するとユーザー体験が阻害されるため、特に攻撃者によってターゲットとされやすい重要な操作に限定して導入されています。
例えば、パスワードの変更、個人情報の変更、セキュリティ(IDロック等)解除などには電話認証が必要ですが、ガンホーゲームズへのログイン、ゲームの起動、ショップポイントやくじの購入などには必要ありません。

電話認証は誰でも簡単に利用しやすく、セキュリティの強化はもとより、利便性の観点からも有効な手段です。

4.メール認証の脆弱性へのInfront Securityの活用事例:再春館製薬所様

パスワードリマインダーへの導入

再春館製薬所様の通販サイト「ドモホルンリンクル」で、パスワードを忘れてログインができなくなったユーザーのパスワード再設定に際して、Infront Securityによる電話認証が導入されています。
メール認証におけるパスワードの再設定フローにおいては、ユーザーのメールアドレスが乗っ取られてしまうと、不正利用者が新たなパスワードを作成して、不正ログインができてしまいます。

Infront Securityによる電話認証は、顧客データベースに登録しているユーザー本人の電話番号から認証専用電話番号へ架電し、合致した場合のみ認証が通る仕組みです。
非通知設定の場合は認証されません。
物理的に登録されている電話からの架電が必要なため、パスワードを不正に変更することは不可能に近い状態となります。

売上が向上するメリットも

登録した電話番号から認証専用電話番号へ架電するだけ、というInfront Securityのシンプルな認証手順は、セキュリティを高める一方で、サイト利用のハードルを下げることにも直結します。

再春館製薬所様でパスワードの再設定に対してメール認証を行なっていた時には、サイトの離脱率が高かったり、案内のためのオペレーター対応コストがかかる点が課題になっていました。

一般的にはセキュリティ対策を強化するとドロップが増えがちなところ、Infront Securityを導入後は、誰にでも理解しやすい手順のため、全体ログイン率、カートページのCVRが改善し、結果的に売上向上を実現しています。
オペレーターの対応についても対応時間が減ったことで、不要な経費の削減につながりました。

セキュリティの強化は、ユーザー体験とのバランスを考慮することが重要です。
Infront Securityは不正が激減し、顧客が増加する、メール認証に代わるユニークな認証システムです。

記事一覧へ戻る