ハッカーはゲームのチーターから生まれる!? ゲームセキュリティ企業Ninjastarsが語る「チーターの生態系」と対策

以前の記事でもご紹介したとおりチートツール配布サイトがあったり、チートツールを大々的に開発する業者もいるのですが、ゲーム会社側がチート業者に損害賠償を請求しており、860万ドル（約10億円）の支払い命令がされています。

こういう厳罰の事例はチート業者や個人のチーターに対していい牽制になりますし、このようにチートに対して厳しい対応が増えれば、今後のゲームの世界がより良いものになっていくと思いますね。

国内の事例だと、売上トップクラスのソーシャルゲームで、レア度の高いキャラクターを増殖できてしまうというバグが見つかりました。 これは何が問題だったかというと、チートツールなどを使うことなく普通のユーザもできる画面操作からチートができてしまったんです。

このチート方法が匿名掲示板で拡散されてしまい、数千人の方が実際にこのチートをしたと言われています。 問題だったのは、誰でもできるチートが見つかったため、それまで一般のユーザーだった人がチーターになってしまったという点なんですよ。

当たり前ですが、チーターって最初からチーターなわけではないんですよ。 最初はみな一般的なゲームプレイヤーで、一部の方がゲームの改造ツールやチートツールを使ったりすることでカジュアル・チーターになります。

さらに一部のユーザーは、解析が簡単なゲームで自分からチートを始めてしまいます。 他のユーザーがいるゲームを対象にチートを始めたり、チートを使ってお金儲けをしようとし始めると、悪質なビジネス・チーターになってしまいます。

セキュリティの弱さ、チーター側のリスクの小ささと換金しやすさ、達成感の得やすさがあるからだと思います。 そのため、チーターやハッカーの最初のステップ・踏み台になってしまっています。 ゲームのチートってやはりブラックなものですし、それが最初のステップだと悪いチーターやハッカーに育ちやすいですよね。

セキュリティでいうと、やはり決済系や金融系などに比べると相対的に防御は弱いんです。 チートやハッキングをしようという人達も、やはり脆弱性が見つけやすいところからまず始めてみようと考えますよね。

また、ゲームのチートで捕まるなどの罰則が今のところ少ないため、リスクが小さいと捉えられています。 そして、チートしたアカウントの販売などで金銭に換えやすいのも大きいですね。

大手のオークションサイトやフリマアプリで規制はされているものの、取引サイトは依然として存在しています。 大規模な不正アクセスなどの方が理論上の換金可能額は大きいですが、それを換金するのは非常に難しいですし、お小遣い稼ぎができるとそこに前向きになってしまう方もいますよね。

そして、ゲームのチートってフィードバックが分かりやすいんです。 いわゆる不正アクセスって、そもそも難しいだけでなく過程を細分化するのが難しくて達成感が得づらいんですよ。 ですが、ゲームのチートだと例えば体力の数値を改ざんできれば攻撃結果が目に見えて分かるので、チーターがすぐに達成感が得られるんです。

本来ゲーム側がちゃんと対策できていれば、簡単なチートは見つからないのでユーザーに変な気を起こさせません。 逆に簡単にチートできるゲームがあると、そこで経験を積んでチーターが育っていくんです。

なので、僕たちはゲーム業界のセキュリティの底上げをしていきたいんですよ。 それによってゲーム会社の被害が小さくなることはもちろん、チーターが育ちづらい環境を実現することで、ユーザーやコミュニティの健全化を実現したいと考えています。

我々は、ゲームの領域はハッキングやチートとの付き合い方が他のビジネスとは全然違うと思っているんです。

例えば決済や金融系の領域においては、セキュリティの問題が経済的な被害や重要な個人情報の流出などにつながり、非常に被害が大きくなります。 攻撃者は少ないですが発生した際のリスクが大きいため、完全な対策が必要になります。

それに対して、ゲーム領域ではチートによって必ずしも経済的被害が発生する訳ではないんです。 ガチャや課金周りのチートも一部ありますが、ゲームバランスが崩れるようなチートがかなり多いのが実情です。

また、決済や金融領域での攻撃に比べると、ゲーム領域におけるチーターは慢性的に非常に多く、常に攻撃してくるんです。 ただ、攻撃者の質にも大きな違いがあり、ゲーム領域では能力が高くなく簡単に防ぎやすい程度のチーターがかなり多いんです。

ゲーム領域と他領域では攻撃者の数や質、攻撃の内容が全然違うので、対応の方針が大きく異なるということですね。

ゲームセキュリティにおいては、攻撃難易度が低くて最大リスクが大きい脆弱性が一番ヤバいんです。

高度な技術による大規模なハッキングが派手なイメージがありますが、誰でも攻撃できる脆弱性こそが広く蔓延するチートにつながり、ゲームにとっては被害が大きくなります。 これはゲームセキュリティの特性をよく表していると思いますね。

また、ゲームバランスに関するチートが多いなかで、チートによる被害額の算出って難しく、ゲーム会社も対応の判断が難しいんです。

チートに嫌気がさしてゲームをやめたユーザーがいたとして、それによる機会損失や逸失利益って計算しづらいじゃないですか。 これは大きな課題ですが、合理的に判断できるよう解決していきたいですね。

小さなチートに対する無理な対策によってゲームのパフォーマンスが落ちることもあります。 それによって多くのユーザーの体験が犠牲になるくらいなら、多くのチーターに対応できる対策と事後的なBANを組み合わせて当面の対応をしていくという判断もあるんです。

本当は全チーターを駆除できるのが理想ですが、ゲーム領域における現時点での向き合い方としては、いかに低いコストで多くの割合のチートを減らせるかというコストパフォーマンスで考えるのが合理的かと思います。

ゲーム領域は他領域に比べて大きなアップデートや新しい機能の追加が多く、セキュリティの穴が生まれるタイミングが多い領域です。 また、チーターは非常に多く、一度チートを防げても新しいチート手法が確立されるなどイタチごっこになっている領域です。

なので、定期的な脆弱性診断や組織的なセキュリティレベルの向上が必要だと考えています。

定期的な診断によって、過去に検出されなかった脆弱性や新たなチート手法への対策ができますし、緊急度の高い脆弱性が発見された場合にすぐに対応して再診断できます。 ゲームの開発工程やリリース後のフローに「脆弱性診断〜対策〜再診断」が入り、そこを定期的に実施することを常識にしていきたいですね。

また、組織的なセキュリティレベルの向上としては、セキュリティの安全性を詳細に分解して目標を設定して一緒に改善するサポートをしています。 脆弱性診断とその後の対応で、どれだけセキュリティレベルが向上したかを毎回評価するなど伴走しながら改善を進めています。

複数タイトルの一斉診断も行っています。 同じ開発会社で開発されたゲームには、ある程度似通った脆弱性が存在する場合が多く見られるんです。

チーターからすれば同じ開発元の別のゲームに同じチート手法が通じると考えるのは自然ですし、やはり狙ってきます。 一つの脆弱性から他のゲームに影響を出さないためにも、時間、費用ともに効率的にセキュリティ対策を行うべきだと考えています。

セキュリティが向上した先の世界ではゲームの可能性はより拡がると信じていますし、その先のゲーム業界の実現に貢献したいんですよ。 僕たちはチートの存在によってゲームに制限がかかっていると思っているんです。

例えば、フォートナイトのようにメタバース（※）に近いゲームは、SNSやコミュニケーションのような役割や機能を持ちつつあります。 そこでチートがあると秩序が乱れたりゲームバランスが崩れかねません。

今後も色々なゲームで新しい機能や世界が生まれていくと思うんですが、チートがそれを阻害するのを防ぎたいんです。

チートを防ぐことで、それまでチート対策に使っていた労力を新しい機能追加や改善に活かしていけると思うんです。 より面白いゲームや、ゲームによる新しい世界の実現のため、ゲーム業界のセキュリティの底上げに貢献していきたいですね。