コンピュータゲームはこれまで、若者のための「遊び」とみなされてきました。しかし、ゲーム自体をスポーツ競技として捉える「エレクトロニック・スポーツ(electronic sports、以下eスポーツ)」は、今や非常に収益性の高い業界へと成長しています。スポンサーの増加と広告収入の拡大によりeスポーツの大会は急成長しています。大会規模が拡大するにつれて、賞金総額も増大しています。そしてもちろん、上昇する人気と投入資金は、金を稼ぐ機会を探しているサイバー犯罪者にとっても魅力的な存在となっています。
チートやハックと呼ばれる不正行為を可能にするツールは、アンダーグラウンド市場において広く流通し、不正な手段を使っても競技で優位に立ちたいと願うプレイヤーの需要を満たしています。犯罪グループは他に、分散型サービス拒否(DDoS)、ランサムウェア、ゼロデイ攻撃、データ侵害、標的型などの攻撃を仕掛けてくる場合もあります。トレンドマイクロでは、今後数年間のうちに、成長するeスポーツ業界を標的とする脅威の増加を予測しています。以下に、近い将来に増加が予想される4つの脅威を説明します。
■ハードウェアハック
プロゲーマーの大会では、プレイヤー自身によるマウスやキーボードといったハードウェアの持ち込みを許可しています。しかし、これらの持ち込みハードウェアにおいては、チート行為の検出を回避するための特殊な仕掛けが仕込まれていることがあります。たとえば、2018年、「Ra1f」というプレイヤーがビデオゲーム「Counter-Strike: Global Offensive(略称CS:GO)」の大会で、主催者側のチート対策ソフトウェア「ESEA Client」を回避するために高度なハードウェアのチートを使用しているところを見つかり退場となりました。
以下は、彼がチート対策ソフトウェアを回避した方法です。
- メインコンピュータには、通常のCS:GOインストールと同様に、CS:GOと必要なチート対策ソフトウェア「ESEA Client」の両方をインストールしていた
- 2番目のコンピュータ(以下、攻撃用PC)には、特殊なソフトウェアをインストールし、データを受信する準備が整っていた
- メインコンピュータには、DMA(Direct Memory Access)デバイスがPCI Express(PCIe)拡張スロットに差し込まれていた
- USBケーブルによってDMAデバイスを攻撃用PCに接続
- DMAデバイスはUSBケーブルを介して攻撃用PCにデータを送信し、メインコンピュータはそれをキャプチャして解析
- データを解析した後、攻撃用PCはそれをRaspberry Piに送信
- Raspberry PiにWi-Fi接続された携帯電話は、他のプレイヤー全員の位置情報を含むデータをダウンロードして画面表示し、「Ra1f」に敵の位置を提供した
図1:カスタムメイドのハードウェアハックを販売するページ。販売価格は500米ドルから。
アンダーグラウンドで販売されている入手可能なハードウェアハックを調査したところ、ワンボードマイコン「Arduino」や、キーストロークインジェクションツールの「USB Rubber Ducky」を利用したものが見つかりました。どちらのデバイスも正規のツールであり、アンダーグラウンドでなく正規の市場でも容易に入手できます。しかし、アンダーグラウンドの販売者は他のチートツールを組み合わせ、チート行為の検出を回避できるようにカスタマイズし、価格を上乗せして販売しています。あるWebサイトでは、カスタマイズされたハードウェアが500米ドル(約5万4500円、2019年11月13日現在)から提供されていました。
■DDoS攻撃
ゲームサーバへのDDoS攻撃によってゲームが重くなる、あるいはラグが引き起こされることがあります。これは、ミリ秒が勝敗を決定するeスポーツにおいては、重大な問題となります。DDoS攻撃はサービス提供者に風評被害をもたらすため、また、競争相手を悩ませたり勝たせたい相手を有利にしたりするための手段として使用されることもあります。また、混乱による大会へのダメージを恐れる主催者側に金銭を要求する恐喝にも使用されます。
DDoSツール、有料サービス、さらにはDDoS攻撃から保護するサービスなど、さまざまなDDoS関連アイテムがすでにアンダーグラウンドで入手可能になっています。
図2:プレイヤー向けにアンチDDoSアプリケーションを提供するアンダーグラウンドフォーラムの投稿
図3:DDoSサービスを宣伝する投稿
これらのゲームは主にライブで行われるため、eスポーツの主催者は、サイバー犯罪者からの妨害を恐れ支払要求に応じるよう圧力を感じるかもしれません。また、このようにDDoSサービスが容易に入手できる事実を考慮すると、DDoSのみならず他の恐喝の試みが続く可能性が考えられます。
■脆弱なゲームサーバを狙う攻撃
ゲームの進行を担い重要な情報の中心であるゲームサーバは、サイバー犯罪者にとって格好のターゲットとなります。トレンドマイクロは「Shodan」(インターネットに接続されたデバイスを対象とする検索サービス)を使用して、eスポーツ関連のサーバをスキャンしました。2019年7月25日現在、民間組織やプレイヤーによって運営されるものもあわせて219,981台のゲームサーバがインターネットからアクセス可能であることがわかりました。
サーバはその性質上オンラインであるため、ある程度のリスクにさらされています。Shodanはサイバー犯罪者にとっても、位置、組織、デバイス、サービスなどの情報を収集するための便利な「公開情報に基づく調査手法(Open Source Intelligence、OSINT)」です。Shodanで収集されたソフトウェアおよびファームウェア情報は、アクセス可能なサーバが、どのような脆弱性に対し未対応であるかを特定するのに利用される可能性があります。これらのアクセス可能なサーバをさらに調査したところ、以下の表にあるような、いくつかの重大な脆弱性を持つサーバの存在が明らかになりました。
| 共通脆弱性識別子 | 脆弱性タイプ |
| CVE-2012-4558 | リモートの攻撃者により、巧妙に細工された文字列を介して任意のWebスクリプトまたはHTMLを挿入される可能性 |
| CVE-2013-1896 | リモートの攻撃者により、MERGEリクエストを介してサービス拒否(セグメンテーション違反)の状態にされる可能性 |
| CVE-2012-3499 | リモートの攻撃者により、ホスト名やURIを出力する際に任意のWebスクリプトまたはHTMLを挿入される可能性 |
| CVE-2014-0231 | リモートの攻撃者により、CGIスクリプトへのリクエストを介してサービス拒否(プロセスハング)の状態にされる可能性 |
| CVE-2017-7679 | 悪意のあるContent-Type応答ヘッダを送信した場合攻撃者がバッファの終わりを1バイト過ぎて読み取れる可能性 |
| CVE-2018-1312 | 共通のDigest認証設定を使用するサーバのクラスターでは、HTTPリクエストが検出されることなく攻撃者によってサーバ間で再生される可能性 |
| CVE-2010-5107 | 周期的に多数のTCP接続が新しく作成されることで、リモートの攻撃者によってサービス拒否(コネクションスロットの枯渇)の状態にされる可能性 |
| CVE-2016-0778 | リモートサーバにより大量の転送を要求されることで、サービス拒否(ヒープベースのバッファオーバーフロー)状態にされる他、不特定の影響を受ける可能性 |
| CVE-2012-2531 | 「パスワード漏えいの脆弱性」により、ローカルユーザに操作ログを読み取って認証情報を発見される可能性 |
| CVE-2018-10549 | exif_iif_add_valueは、最後の文字「\ 0」を持たないMakerNoteのケースを誤って処理するため、この脆弱性を持つサーバは、細工されたJPEGデータの境界外読み取りを行う |
| CVE-2018-10548 | リモートのLDAPサーバがサービス拒否を引き起こす可能性 |
| CVE-2018-10545 | 1人のユーザ(マルチユーザー環境において)が、2番目のユーザのPHPアプリケーションのプロセスメモリから機密情報を取得できる可能性 |
| CVE-2014-1692 | リモートの攻撃者によってサービス拒否(メモリ破損)の状態にされる他、不特定の影響を受ける可能性 |
| CVE-2017-15906 | 攻撃者によって長さゼロのファイルを作成される可能性 |
| CVE-2019-11039 | 情報漏えいやクラッシュにつながる可能性 |
| CVE-2019-11040 | 情報漏えいやクラッシュにつながる可能性 |
■ゲームプレイヤーを狙う攻撃
過去、ランサムウェアによる攻撃の標的にされたゲームプレイヤーの事例が発生しています。2018年、攻撃者は暗号化型ランサムウェアを利用してゲームプレイヤーを攻撃し、ファイルの復号料金のかわりに、バトルロイヤルゲーム「PlayerUnknown’s Battlegrounds(PUBG)」を1時間プレイすることを要求しました。eスポーツがますます注目を浴びている現在、大会とゲームプレイヤーは魅力的なターゲットとなり、この種の攻撃活動はエスカレートする可能性があります。また、前出の「CS:GO」のアカウントは既に攻撃対象となっており、ハッキングを受けたものと見られる高ランクの「Elite」アカウントがアンダーグラウンドフォーラムで売買されています。
図4:99米ドルで販売されているCS:GOの「Global Elite」ランクのアカウント
図5:CS:GOの各ランクのアカウントが販売されている
攻撃者は、高ランクのアカウントの販売目的とは別に、ゲーム内のアイテムを購入して転売するためにアカウントを侵害する場合もあります。また、ランサムウェアによる恐喝やメッセージの拡散に利用するプラットフォームとして使用するため、ゲーマーのTwitchやYouTuberのソーシャルメディアアカウントの乗っ取りが発生することを、トレンドマイクロでは予測しています。サイバー犯罪者は、数百万人のフォロワーを持つアカウントを探し、これらのアカウントを乗っ取るためにフィッシング攻撃やマルウェアを使用する恐れがあります。
■被害にあわないためには
ただし、eスポーツ業界側も対策を怠ってはいません。ゲーム会社と主催者側は常に現れる新しいチート行為に目を光らせており、競技を保護するためのチート対策サービスがすでに多数利用されています。トレンドマイクロのレポート「Cheats, Hacks, and Cyberattacks: Threats to the Esports Industry in 2019 and Beyond(英語情報)」は、eスポーツ業界が近い将来直面すると予想される脅威について詳細に解説しています。eスポーツを狙う脅威を認識し、対策を強化するためにも、このレポートをご覧ください。
■トレンドマイクロの対策
ゲームサーバを狙う攻撃に関しては、サーバ向け総合セキュリティ製品「Trend Micro Deep Security™」が有効です。Deep Securityの「仮想パッチ機能」では、運用上の都合などで未更新状態の脆弱性に対する攻撃を保護することが可能です。またDDoS攻撃に対しても攻撃の兆候を警告することが可能です。
ゲームプレイヤーを狙うランサムウェアなどのマルウェア攻撃やフィッシング攻撃に対しては、個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター™ クラウド」が有効です。「FRS」技術によるウイルス検出、挙動監視機能(不正変更監視機能)により、侵入時点で検出未対応のマルウェアであっても、その不正活動を検知してブロック可能です。同時にスパムメールの検出や、不正なURLをブロックすることによって、総合的な保護を提供します。
参考記事:
- 「Current and Future Hacks and Attacks that Threaten Esports」
by Mayra Rosario Fuentes and Fernando Mercês
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)