ゲーム業界が「攻撃者にとって魅力的」な理由とは アカマイが調査レポートを公表：攻撃手段は「SQLインジェクション」が中心

アカマイテクノロジーズが公表した「Web攻撃とゲーム業界への攻撃」によると、2017年11月からの17カ月間にゲームWebサイトを標的とした不正ログイン攻撃は120億件。Webアプリケーションに対する攻撃のうち、SQLインジェクションが65.1％を占めていた。

[＠IT]

　アカマイテクノロジーズ（以下、アカマイ）は2019年6月14日、ゲームWebサイトを標的としたbotによる不正ログイン（Credential Stuffing、別名パスワードリスト型）攻撃に関する調査レポート「Web攻撃とゲーム業界への攻撃（Web Attacks and Gaming Abuse）」を公表した。

　同レポートによると、2017年11月〜2019年3月の17カ月間に同社が把握している不正ログイン攻撃は550億件。そのうち、ゲームWebサイトを標的としたbotによる不正ログイン攻撃は120億件だった。同レポートでは、ゲーム関連業界が、手っ取り早く利益を狙う犯罪者に格好の標的になっているとしている。

攻撃者にとって「アイテムを簡単に換金できる」ことが魅力

　アカマイでは、不正ログイン攻撃には、SQLインジェクション攻撃が関連していると指摘する。闇サイトなどで出回っている不正ログイン用のリストの大半は、SQLインジェクション攻撃によって漏えいしたデータが悪用されているからだ。SQLインジェクション攻撃は、2018年の年末商戦期間中に急増し、その後も増加傾向にあるという。最近では、Webアプリケーションに対する攻撃のうち、SQLインジェクション攻撃が65.1％を占めている。

SQLインジェクション攻撃が65.1％を占めている（出典：アカマイ）

　同社は、2019年初頭に、SQLインジェクション攻撃を仕掛ける方法や、取得した認証情報からリストを生成する方法を解説した動画を見つけたという。同社では、このようにして不正に入手したリストが人気オンラインゲームでの不正ログイン攻撃に利用されているとしている。

　アカマイでセキュリティ調査を担当するMartin McKeay（マーティン・マッケイ）氏は、「ゲーム業界が攻撃者にとって魅力的である理由の一つに、ゲーム内アイテムを簡単に換金できる点がある。さらに、ゲーマーはお金を使うことが知られている特殊な消費者層なので、経済的にも魅力的なターゲットだ」と述べている。

価値が高いアカウントとは

　さらに、有効なクレジットカードなどの金銭取引情報と関連付けられているアカウントも、攻撃者にとって価値が高い。マッケイ氏は「ゲーム会社は継続的に防御策を新たに導入したり、強化したりしているが、同時にユーザーも自身で身を守る必要がある」と述べている。

　同レポートでは、他にWebアプリケーションへの攻撃の約67％が米国の組織を標的としていることや、不正ログイン攻撃の発信元国として、日本は16位であることなどが取り上げられている。