ハッカーはゲームのチーターから生まれる!? ゲームセキュリティ企業Ninjastarsが語る「チーターの生態系」と対策
みつじ
2020.10.01
この記事でわかること
チーターは脆弱性のあるゲームやチートが簡単なゲームでチートを覚えて育っていく。
ゲーム会社はコストパフォーマンスも考えながらチートと付き合っていく。
ゲームセキュリティの向上を通してゲームの可能性をさらに拡げていきたい。

前回のチーターの経済圏や収益構造について説明した記事が話題を呼んだホワイトハッカー集団「Ninjastars」

ホワイトハッカー集団「Ninjastars」が教える、「チーター経済圏」の全て

Ninjastarsはチーターからゲームを守るため、ゲーム企業に脆弱性の診断やセキュリティのレベルを高めるサービスを提供しています。

チーターはどのようにして育つのか、チーターに対してゲーム会社はどのように付き合いセキュリティと向き合っていくべきなのか。

Ninjastars代表の森島さんが教えてくれました。

チーターが育つのは「簡単なゲーム」から? 「チーターの生態系」に迫る

最近のチート事例

みつじ
ゲーム業界におけるチートって、最近ではどういうものがあるんですか?
Ninjastars 森島さん
以前の記事でもご紹介したとおりチートツール配布サイトがあったり、チートツールを大々的に開発する業者もいるのですが、ゲーム会社側がチート業者に損害賠償を請求しており、860万ドル(約10億円)の支払い命令がされています。
Ninjastars 森島さん
こういう厳罰の事例はチート業者や個人のチーターに対していい牽制になりますし、このようにチートに対して厳しい対応が増えれば、今後のゲームの世界がより良いものになっていくと思いますね。
みつじ
国内でもこういう対応がされるといい牽制になりますね。
Ninjastars 森島さん
国内の事例だと、売上トップクラスのソーシャルゲームで、レア度の高いキャラクターを増殖できてしまうというバグが見つかりました。
これは何が問題だったかというと、チートツールなどを使うことなく普通のユーザもできる画面操作からチートができてしまったんです。
Ninjastars 森島さん
このチート方法が匿名掲示板で拡散されてしまい、数千人の方が実際にこのチートをしたと言われています。
問題だったのは、誰でもできるチートが見つかったため、それまで一般のユーザーだった人がチーターになってしまったという点なんですよ。
みつじ
たしかに、これがきっかけでチートをしてしまった方もいるのか…。

チーターはどのようにして育つのか

Ninjastars 森島さん
当たり前ですが、チーターって最初からチーターなわけではないんですよ。
最初はみな一般的なゲームプレイヤーで、一部の方がゲームの改造ツールやチートツールを使ったりすることでカジュアル・チーターになります。
Ninjastars 森島さん
さらに一部のユーザーは、解析が簡単なゲームで自分からチートを始めてしまいます。
他のユーザーがいるゲームを対象にチートを始めたり、チートを使ってお金儲けをしようとし始めると、悪質なビジネス・チーターになってしまいます。
特にお金を儲けようとするビジネス・チーターはより悪質。
みつじ
なんでゲームのチートがきっかけになりやすいんでしょう?
Ninjastars 森島さん
セキュリティの弱さ、チーター側のリスクの小ささと換金しやすさ、達成感の得やすさがあるからだと思います。
そのため、チーターやハッカーの最初のステップ・踏み台になってしまっています。
ゲームのチートってやはりブラックなものですし、それが最初のステップだと悪いチーターやハッカーに育ちやすいですよね。
みつじ
ゲームのチートが選ばれる理由があるんですね…。
それぞれのポイントについて詳しく教えてください。
Ninjastars 森島さん
セキュリティでいうと、やはり決済系や金融系などに比べると相対的に防御は弱いんです。
チートやハッキングをしようという人達も、やはり脆弱性が見つけやすいところからまず始めてみようと考えますよね。
Ninjastars 森島さん
また、ゲームのチートで捕まるなどの罰則が今のところ少ないため、リスクが小さいと捉えられています。
そして、チートしたアカウントの販売などで金銭に換えやすいのも大きいですね。
Ninjastars 森島さん
大手のオークションサイトやフリマアプリで規制はされているものの、取引サイトは依然として存在しています。
大規模な不正アクセスなどの方が理論上の換金可能額は大きいですが、それを換金するのは非常に難しいですし、お小遣い稼ぎができるとそこに前向きになってしまう方もいますよね。
Ninjastars 森島さん
そして、ゲームのチートってフィードバックが分かりやすいんです。
いわゆる不正アクセスって、そもそも難しいだけでなく過程を細分化するのが難しくて達成感が得づらいんですよ。
ですが、ゲームのチートだと例えば体力の数値を改ざんできれば攻撃結果が目に見えて分かるので、チーターがすぐに達成感が得られるんです。
みつじ
ゲームのチートがターゲットになる理由が分かってきました…。
Ninjastars 森島さん
本来ゲーム側がちゃんと対策できていれば、簡単なチートは見つからないのでユーザーに変な気を起こさせません。
逆に簡単にチートできるゲームがあると、そこで経験を積んでチーターが育っていくんです。
Ninjastars 森島さん
なので、僕たちはゲーム業界のセキュリティの底上げをしていきたいんですよ。
それによってゲーム会社の被害が小さくなることはもちろん、チーターが育ちづらい環境を実現することで、ユーザーやコミュニティの健全化を実現したいと考えています。

ゲーム会社のチートとの付き合い方はコスパ重視?

みつじ
ゲーム会社はチートにどのように対応していけばいいんでしょう…?
Ninjastars 森島さん
我々は、ゲームの領域はハッキングやチートとの付き合い方が他のビジネスとは全然違うと思っているんです。
みつじ
え?どういうことですか?
Ninjastars 森島さん
例えば決済や金融系の領域においては、セキュリティの問題が経済的な被害や重要な個人情報の流出などにつながり、非常に被害が大きくなります。
攻撃者は少ないですが発生した際のリスクが大きいため、完全な対策が必要になります。
Ninjastars 森島さん
それに対して、ゲーム領域ではチートによって必ずしも経済的被害が発生する訳ではないんです。
ガチャや課金周りのチートも一部ありますが、ゲームバランスが崩れるようなチートがかなり多いのが実情です。
みつじ
攻撃による被害の内容も結構違うんですね。
Ninjastars 森島さん
また、決済や金融領域での攻撃に比べると、ゲーム領域におけるチーターは慢性的に非常に多く、常に攻撃してくるんです。
ただ、攻撃者の質にも大きな違いがあり、ゲーム領域では能力が高くなく簡単に防ぎやすい程度のチーターがかなり多いんです。
Ninjastars 森島さん
ゲーム領域と他領域では攻撃者の数や質、攻撃の内容が全然違うので、対応の方針が大きく異なるということですね。
ゲーム領域と他領域の攻撃の比較。攻撃の頻度、数、質などそれぞれの点で異なる。
Ninjastars 森島さん
ゲームセキュリティにおいては、攻撃難易度が低くて最大リスクが大きい脆弱性が一番ヤバいんです。
Ninjastars 森島さん
高度な技術による大規模なハッキングが派手なイメージがありますが、誰でも攻撃できる脆弱性こそが広く蔓延するチートにつながり、ゲームにとっては被害が大きくなります。
これはゲームセキュリティの特性をよく表していると思いますね。
みつじ
なるほど…!
Ninjastars 森島さん
また、ゲームバランスに関するチートが多いなかで、チートによる被害額の算出って難しく、ゲーム会社も対応の判断が難しいんです。
Ninjastars 森島さん
チートに嫌気がさしてゲームをやめたユーザーがいたとして、それによる機会損失や逸失利益って計算しづらいじゃないですか。
これは大きな課題ですが、合理的に判断できるよう解決していきたいですね。
みつじ
たしかに被害額を正確に算出・予測できれば対策の優先度がつけやすくなりますもんね。
Ninjastars 森島さん
小さなチートに対する無理な対策によってゲームのパフォーマンスが落ちることもあります。
それによって多くのユーザーの体験が犠牲になるくらいなら、多くのチーターに対応できる対策と事後的なBANを組み合わせて当面の対応をしていくという判断もあるんです。
Ninjastars 森島さん
本当は全チーターを駆除できるのが理想ですが、ゲーム領域における現時点での向き合い方としては、いかに低いコストで多くの割合のチートを減らせるかというコストパフォーマンスで考えるのが合理的かと思います。

Ninjastarsがセキュリティ貢献したいゲーム業界の未来

みつじ
Ninjastarsさんはゲーム業界のセキュリティ改善のサービスを提供しているわけですが、どのようにしてチートを減らしていきたいと考えているんでしょうか?
Ninjastars 森島さん
ゲーム領域は他領域に比べて大きなアップデートや新しい機能の追加が多く、セキュリティの穴が生まれるタイミングが多い領域です。
また、チーターは非常に多く、一度チートを防げても新しいチート手法が確立されるなどイタチごっこになっている領域です。
Ninjastars 森島さん
なので、定期的な脆弱性診断や組織的なセキュリティレベルの向上が必要だと考えています。
みつじ
具体的にはどのような施策でしょうか?
Ninjastars 森島さん
定期的な診断によって、過去に検出されなかった脆弱性や新たなチート手法への対策ができますし、緊急度の高い脆弱性が発見された場合にすぐに対応して再診断できます。
ゲームの開発工程やリリース後のフローに「脆弱性診断〜対策〜再診断」が入り、そこを定期的に実施することを常識にしていきたいですね。
Ninjastarsが実現していきたいセキュリティの診断と対策の流れ
Ninjastars 森島さん
また、組織的なセキュリティレベルの向上としては、セキュリティの安全性を詳細に分解して目標を設定して一緒に改善するサポートをしています。
脆弱性診断とその後の対応で、どれだけセキュリティレベルが向上したかを毎回評価するなど伴走しながら改善を進めています。
C評価以上のセキュリティレベルを目指してゲームのセキュリティ改善を伴走する。
Ninjastars 森島さん
複数タイトルの一斉診断も行っています。
同じ開発会社で開発されたゲームには、ある程度似通った脆弱性が存在する場合が多く見られるんです。
Ninjastars 森島さん
チーターからすれば同じ開発元の別のゲームに同じチート手法が通じると考えるのは自然ですし、やはり狙ってきます。
一つの脆弱性から他のゲームに影響を出さないためにも、時間、費用ともに効率的にセキュリティ対策を行うべきだと考えています。
みつじ
ありがとうございます。
Ninjastarsはこのようなセキュリティ向上のサービスを通してどういうゲーム業界を目指しているんですか?
Ninjastars 森島さん
セキュリティが向上した先の世界ではゲームの可能性はより拡がると信じていますし、その先のゲーム業界の実現に貢献したいんですよ。
僕たちはチートの存在によってゲームに制限がかかっていると思っているんです。
Ninjastars 森島さん
例えば、フォートナイトのようにメタバース(※)に近いゲームは、SNSやコミュニケーションのような役割や機能を持ちつつあります。
そこでチートがあると秩序が乱れたりゲームバランスが崩れかねません

※メタバース・・・インターネット上の仮想空間

Ninjastars 森島さん
今後も色々なゲームで新しい機能や世界が生まれていくと思うんですが、チートがそれを阻害するのを防ぎたいんです。
Ninjastars 森島さん
チートを防ぐことで、それまでチート対策に使っていた労力を新しい機能追加や改善に活かしていけると思うんです。
より面白いゲームや、ゲームによる新しい世界の実現のため、ゲーム業界のセキュリティの底上げに貢献していきたいですね。

セキュリティ向上を通してゲーム業界の未来に貢献する「Ninjastars」。

彼らと一緒にゲームセキュリティと向き合いたいゲーム企業、エンジニアはぜひ彼らにご連絡を!

森島さん、ありがとうございました!

みつじ
京都大学経済学部を卒業後、Web系のコンサル会社を経て株式会社Tenxiaを創業。 最近はコードを書く機会がなくてPMみたいなことばかりしている。 サウナとアイドルとスマブラが好き。
みつじの記事一覧を見る
この記事をシェア