セキュリティの先にあるゲームの未来を、ともに〜サイバーセキュリティ会社 Ninjastars と Microsoft のコラボレーション事例
国内外ゲーム業界のデータ年鑑『ファミ通ゲーム白書2021』の推計によると、2020 年のゲームコンテンツ市場は前年比 31.6% 増の 20 兆 6,417 億円に到達、日本国内においても 2 兆円を突破しました。なかでも、スマートフォンやタブレット向けのゲーム アプリケーション市場が国内ゲーム市場の 7 割を超えており、今やほとんどのゲーム ユーザーは、オンライン プラットフォーム上に置かれたゲーム コンテンツを楽しむのが当たり前の時代と言えるでしょう。
このたび Microsoft は、オンライン ゲームを中心とした脆弱性診断やチート対策などのサービスを提供する、ゲーム業界に特化したサイバー セキュリティ企業「株式会社 Ninjastars」を Microsoft for Startups に採択。共同でサービス開発やイベント開催を行い、伸張著しいオンライン ゲーム市場におけるセキュリティ意識の向上やセキュリティ環境の構築に貢献してまいります。
■ゲーム業界におけるセキュリティ課題の解決を目指す
-Ninjastars 社の業務についてお聞かせください。
森島: 当社は「本質的安全を提供しデジタル社会を進化させる」を理念としており、「リバースエンジニアリング」という技術を用いたゲームのセキュリティ診断、セキュリティ教育、セキュリティ コンサルティング、セキュリティ製品開発の 4 つのサービスを提供しています。ブラックボックスでの侵入テストを行うことで、攻撃者と同じ目線からセキュリティ リスクを検出、ハッカーの攻撃手法やそこに至る思考プロセスまで分析し、対策をご提案できるのが当社の強みです。CTF 勉強会のような知見を共有できる場所づくりや、不正行為の対策・検出用の月額制 SaaS 製品の販売も行なっています。
-オンラインゲーム業界におけるセキュリティの問題についてお聞かせください。
森島: これまでもオンライン ゲームのデータやプログラムを改変して、ゲーム上のレベルを上げたりアイテムを増やしたりする「チート」と呼ばれる不正行為があることは知られていましたが、当社が調査したところ、そのチート ビジネスの中心に、改変 apk (Android アプリケーションの apk ファイルを解析して書き換えるチート手段) の販売サイトの存在があることがわかってきました。
これまでは、チート行為が行われているのはわかっていても、改変 apk を使った攻撃がどれだけ行われているか、数値としては明らかになっていませんでした。ですからゲーム会社によって被害の意識もバラバラで、対策もそれぞれ異なっていたという事情があります。
-チート行為による被害はかなり大きいのでしょうか?
森島: ある事例では、ひとつのゲーム タイトルに対して、改変 apk の販売サイトから 3 年間で 1 万 7,000 件ものダウンロードが認められ、販売サイトは推計で年間 5,000 万円以上を売り上げていることがわかりました。不正行為を行うチート業者にこれだけの金額が流れていること、チートを行うユーザーは本来ゲームに課金するロイヤル ユーザー層と重なることを考えると、ゲーム会社の逸失利益は莫大なものとなります。
またチート行為を放置することで、ユーザーのゲームへの参加意欲が削がれてしまうといった間接的な被害も発生します。さらに、チーターの総数が多すぎるため、法的な対処法は現実的ではなく、ゲーム会社側はアカウント削除やゲーム内でのペナルティ付与といった対策に追われているのが現状です。
これらの問題を解決するために、当社ではチート行為の検出製品「Ninja Spy」を開発・販売しています。「Ninja Spy」を使えば、改変 apk の検知から販売元の特定、不正を行うチーターの人数把握まで行うことができます。チート行為の監視コストを大幅に下げ、どこを重点的に対策すべきか可視化できるわけです。もうひとつの主力製品であるチート対策製品「ninja_obfuscator」と合わせて、ゲーム業界のセキュリティ対策に役立てていければと考えています。
■セキュリティに関するハンズオンイベントをMicrosoftと共催
-ゲーム会社の開発担当者を対象としたハンズオンイベントも積極的に開催されていますね。
森島: はい。会社設立当初から、ゲーム会社のエンジニアを対象とした勉強会を開催しています。先ほど、チート行為の被害に対する意識が各社バラバラというお話をしましたが、ゲーム業界においては、それぞれの会社がそれぞれのノウハウでセキュリティ対策しているのが現状です。この勉強会を発展させて、各社の知見を集約したり意見を交換したりできる場所「ゲームセキュリティコミュニティ」をつくり、各ゲーム会社、ひいてはゲーム業界全体にセキュリティの知見を共有して、セキュリティ意識の向上を図るのが目的です。
最近のイベントとしては、Microsoft と共同開催という形で、2021 年 5 月 14 日に「ゲーム会社対抗セキュリティコンテスト (CTF) 大会」、9 月 28 日には「第 1 回ゲーム会社向け CTF 勉強会」を行いました。
-Microsoftとの共同開催で変化はありましたか?
森島: はい。Microsoft からも参加の呼びかけをしていただいた結果、9 月の勉強会にはこれまでで最高の 105 名の参加者がありました。当社だけで行うイベントよりも信頼度が向上した結果だと思いますし、参加された企業から当社の製品に関するお問い合わせも複数いただくことができました。設立当初からおつきあいのある方からは「ここまで成長したんだね」と感慨の込もった感想をいただけて嬉しかったですね。Microsoft Teams で参加していただく完全オンラインにすることで、リアルでは手を挙げにくいと感じるような方からチャットで気軽に質問を寄せていただけたのもよかったです。
■セキュリティ意識と対策の向上がゲーム業界全体の発展につなげる
-Microsoft for Startupsに採択されたことによる変化やMicrosoftに期待することをお聞かせください。
森島: まず、開発環境を整備することができました。「Ninja Spy」の開発プラットフォームとして Microsoft Azure を使うことで、Microsoft Visual Studio や GitHub といった開発ツールを活用したスピーディな開発ができるようになったと感じています。今後は Azure Sentinel などのセキュリティ ツールと当社の製品との融合も模索していきたいですね。
また、今回の勉強会で当社がリーチできていなかった企業をご招待いただくなど、ビジネス的な支援もとてもありがたいです。Xbox 事業に代表されるように、Microsoft はオンライン ゲームのプラットフォーマーとしての知見やネットワークをお持ちですから、販売面での協業も実現していければと考えています。
私たちは、ゲーム業界全体のセキュリティ意識とセキュリティ対策が向上することで、これまで以上にゲームの楽しさを追求できるようになり、ゲーム業界全体が発展していくことを願っています。これからも、セキュリティの先にある未来を一緒につくっていければと思います。
■9 月 28 日開催「第 1 回ゲーム会社向け CTF 勉強会」レポート
過去最大、105 名のゲーム関係者が参加
前述のとおり、2021 年 9 月 28 日に、Ninjastars 社と日本マイクロソフトの共催による「第 1 回ゲーム会社向け CTF 勉強会」がオンラインで開催されました。森島氏によると、5 月に開催した「ゲーム会社対抗セキュリティコンテスト (CTF) 大会」はゲーム会社対抗の競技形式だったため、ハードルを高く感じて参加を躊躇された方もいたとのことで、今回はその反省を生かして個人参加形式に変更。過去最大 105 名の参加者を集めることができたそうです。
CTF (Capture The Flag) とは、コンピュータ セキュリティの技術者による知識や技術の競技大会のことです。Ninjastars 社が CTF にこだわるのは、「ただの情報交換会や勉強会という括りだと、自分たちが持つ情報の共有に心理的な抵抗がある方もいるのではないか」という配慮から。競技形式であれば、それぞれが知識や技術を駆使して問題を解き、答え合わせや質疑応答を行うことで、自然と知見を共有できるというわけです。
そうでなくてもゲームに携わる人たちですから、ゲーム形式の方が馴染みやすいのは容易に想像がつきます。「まずはこのような形で心理的な抵抗を除いていただき、今後はより幅広い方に参加していただける勉強会の形式に近づけていきたいですね」と森島氏は展望を語ってくれました。
攻撃者の視点から 1 時間で 3 問の問題に挑む。
参加者は大半がゲーム会社のエンジニアで、一部プランナーや経営層も参加されていたとのこと。テーマは「攻撃者目線で問題を解くこと」。本来プログラムのバグの検証を行うために使用される「プロセス メモリ エディタ」を使い、チーターがよく試す「メモリ チート」と呼ばれる手法を用いて 1 時間かけて 3 問の問題を解いていきます。
問題作成を担当した Ninjastars 社取締役 CTO の齊藤 和輝 氏によると、3 問の問題は順を追って難しくなる設定。1 問目はメモリ チートを使うのであれば最初に思い浮かぶような、ゲーム画面上に表示された数値を書き換える問題。2 問目はそこからさらに踏み込んで、検索条件をきちんと見る必要があり、プログラムに詳しくないと解けない問題。そして 3 問目は、検索しても引っかからないような穴をプログラムの特性からあたりをつけて解いていく問題でした。
使用するツールの簡単な操作方法のレクチャー後に競技スタート。Flag をゲットした人が出るたびに、共有された進捗ページ上の数値が変動していきます。開始 1 時間後、1 問目は約 8 割の参加者が解けましたが、3 問目となると 10% 強しか解けた人はいませんでした。「簡単だったという人もいれば難しすぎて歯が立たなかったという意見もあって、これまで以上に多様な方に参加していただいたことを実感しました」と森島氏。普段開発に携わっているエンジニアでも、初めて自分がチーターとして攻撃側に回る経験をしたという方が多く、とても有意義だったという声も多く寄せられたそうです。
活発な意見交換が行われ、新たな発見も。さらなるコラボレーションに期待
競技終了後には簡単な解説と質疑応答が行われ、チャット上にはひっきりなしに質問が投げかけられていました。「リアルでは気後れしてしまうような方もチャットだと気軽に質問してくれるんですね」と森島氏。CTF の経験が豊富な森島氏にとっても新たな発見だったようです。なお、後日さらに詳細な解説が送られたそうで、参加した皆さんはそれを見て、さらに知見を深めたことでしょう。
Microsoft では同様イベントの定期的な共催やゲーム会社とのリレーション、技術的な知見の共有などを通して、Ninjastars 社とさらに緊密なコラボレーションを築くことで、ゲーム セキュリティ コミュニティの発展に貢献していきたいと考えています。