2007 年は、「オンライン界詐欺の年」または「かわいそうなゲーマー搾取の年」などと呼ぶことができるでしょう。これには大いに理由があります。オンラインゲームのプレーヤーを標的とする悪意あるプログラムが、1 年を通じて飛躍的に増加したのです。その多様性と蔓延の範囲から見れば、こうしたプログラムはすでに、大流行を引き起こすワームやウイルスに匹敵する存在となっています (2007 年 11 月のオンラインスキャナー TOP 20 を参照)。複雑さに関しては、ゾンビネットワークを作るために設計された最も高度なマルウェアと肩を並べます (『Online Games and Fraud』を参照)。

2007 年には、オンラインゲームのプレーヤーだけを標的とする悪意あるプログラムの数が前年より 145% 増加し、これまでの急成長傾向が続いています。これは仮想オンライン財産の窃盗を巡る全体的な状況と軌を一にするものです。

オンラインゲームのパスワードを盗む悪意あるプログラムの年間発生数

オンラインゲームを狙う悪意あるプログラムの増加をより詳細に分析すると、これらをトロイウェアとウイルスウェアの 2 種類に分類できることがわかります。

トロイウェア (TrojWare)：ゲームを狙うトロイの木馬

オンラインゲームのプレーヤーを狙う悪意あるプログラムの中では、トロイの木馬 (もっぱらパスワードを盗むために作られた悪意あるプログラム) が実に 96% を占めます。

代表的な例としては、次のようなものがあります：

Trojan-PSW.Win32.OnlineGames,
Trojan-PSW.Win32.Lmir,
Trojan-PSW.Win32.Nilage,
Trojan-PSW.Win32.WOW,
Trojan-PSW.Win32.Magania,
Trojan-PSW.Win32.Gamec,
Trojan-PSW.Win32.Tibia,
Trojan-PSW.Win32.Hangame.

機密情報を盗むように設計された新しいトロイの木馬 (PSW Trojan) の中では、ゲームを狙うトロイの木馬が 2007 年全体で 69.8% を占めました。注目すべきは、ゲームを狙うトロイの木馬がシェアを増やし続けていることです。1 月には 65% でしたが、9 月には 75% を超え、年末には 80% を突破しました。サイバー犯罪者がメール、インスタントメッセージング、オンラインバンキングのパスワードよりも、オンラインゲームのパスワードに大きな関心を示していることは間違いないといえるでしょう。

オンラインゲームを狙うトロイの木馬が
機密データを盗むトロイの木馬 (Trojan-PSW) 全体に占める割合
(2007年 - 月別 2007)

ゲームを狙うさまざまなトロイの木馬のコードを比較してみると、2006 年と 2007 年前半は、他人の仮想財産を使って何かができるようにするために、パスワードやキーなどのデータを盗み出す新たな技術をテストする期間だったと結論付けることができます。2007 年後半になると、すでに試してみた技術について、オンラインゲームの開発者が発行した新しいパッチに対応して一層の開発が進み、アンチウイルスプログラムから検知されないようにする変更も加えられました。

新たなトロイの木馬の数が 2007 年の初めから急増したものの、年末には伸びが鈍化した上に新技術も見られなかったという事実は、ゲームのキャラクターと仮想財産を盗む方法が、この年の後半には必要な水準にまで高度化したことも示しています。

オンラインゲームのパスワードを盗むトロイウェアの発生数
(2007 年 - 月別)

ゲームを狙う新たなトロイの木馬の数が 7 月に減少した理由としては、夏休みの期間にあたることと、オンラインゲームのユーザに対するアップデートの配布頻度も少なかったことが挙げられるでしょう。そうした状況では、すでにばらまいたトロイの木馬の効果が持続することになるので、サイバー犯罪者としても新種を大量に作成する必要がありません。

ゲームを狙うトロイの木馬に関する開発の方向性を考えると、2007 年は、個別のゲームを標的とするトロイの木馬から同時に複数のゲームのパスワードを盗むマルウェアへの移行期でした。

複数のゲームのパスワードを盗むトロイの木馬と単独のゲームを狙うトロイの木馬
発生数の比較 (2007 年 - 月別)

新種プログラムの発生数を見ると、2007 年に最も数が多かったのは Trojan-PSW.Win32.OnlineGames 系でした。これに属するトロイの木馬は、複数のオンラインゲームから同時にパスワードを盗み出します (標的となるゲームの数は 2 個～ 10 個)。

2007 年に上位を占めたゲームを狙うトロイの木馬ファミリ

ゲームを狙うトロイの木馬全体の中で特定のオンラインゲームを標的とするものが占める割合を調べると、こうしたトロイの木馬の作者に人気のオンラインゲームは何かを知ることができます。

ゲームを狙うトロイの木馬全体で特定のオンラインゲームを標的とするものが
占める割合 (2007年 - 月別)

上の図は、ゲームを狙うトロイの木馬の作者の間では 2007 年を通じて Lineage 2 (Trojan-PSW.Win32.Nilage の標的) の人気が下降線をたどったのに対し、この年の後半には Gamania (Trojan-PSW.Win32.Magania の標的) の人気が上昇したことを示しています。World of Warcraft はさすがと言うべき安定性を示していますが、8 月には突発的に人気が急上昇しました。おそらく、ファン向けのイベント Blizzcon が開催されたことと関係があるのでしょう (http://www.blizzard.com/blizzcon07/highlights.shtml)。

google.com/trends を使用すれば、オンラインゲームプレーヤー間での Lineage2 と World of Warcraft の人気を評価することができます。次の図は、関連検索で Google が発見したリンクの数を示しています。

google.com/trends で「lineage」を検索した場合の結果
[http://www.google.com/trends?q=lineage&ctab=0]

google.com/trends で「wow」を検索した場合の結果
[http://www.google.com/trends?q=wow&ctab=0]

これらの図から、Lineage2 に興味を持つユーザーが 1 年を通じて減少傾向にある一方、World of Warcraft は安定した人気を維持していることがわかります。このことは、トロイの木馬プログラムの作者におけるオンラインゲームの人気と、ユーザー全体における人気の間に相関関係があることを示しています。

ウイルスウェア (VirWare)

オンラインゲームのプレーヤーを狙う悪意あるプログラム全体の中で、ウイルスウェア (自己増殖型マルウェア) が占める割合は 4% にすぎませんが、このカテゴリには悪意あるプログラムの中でも悪名高いものが含まれています。

Worm.Win32.Viking,
Worm.Win32.Fujack,
Virus.Win32.Alman,
Virus.Win32.Hala,
Worm.Win32.AutoRun.

ウイルスウェアに分類されるプログラムの全体でゲームを狙うマルウェアが占める割合は、1 年を通じて変動を見せました。

ウイルスウェア全体でオンラインゲームを狙う自己増殖型の悪意あるプログラムが占める割合
(2007年 - 月別)

上の図は、ゲーマーの活動が最高潮に達する冬季には、自己増殖型の悪意あるプログラムのほぼ 5 分の 1 がオンラインゲームのパスワードを盗むためのものであったことを示しています。

次の図が示すように、ウイルス作者は 2007 年の初めと終わりに、ゲームが標的の新しいウイルスウェアを盛んに開発していました。

オンラインゲームのパスワードを盗む自己増殖型の悪意あるプログラム
(ウイルスウェア) の発生数 (2007 年 - 月別)

ゲームを狙う新たなウイルスウェアの開発活動にも、7 月に突発的な急増がありました。その理由は、ゲームを狙うワームとしては最も強力なものの 1 つ、Worm.Win32.AutoRun がこの月に登場したことにあります。先に示したとおり、ゲームを狙う新たなトロイの木馬の発生数は逆に、7 月に大きく落ち込んでいました。

このワームの強力さは、フラッシュカードを通じて感染するという増殖方法によるものです。大々的なデビューを果たしたあとも、AutoRun の感染は衰えを見せていません。オンラインゲームを狙う新たなウイルスウェアが 12 月に大きなピークを迎えたのは、主としてこのワームによるものでした。

結論

オンラインゲームがごく一部のマニアだけのものではなくなってから、すでに長く経ちます。ICQ、メール、携帯電話などと同様に、もはや日常生活の一部となっているのです。/p>

オンラインゲームを標的とする悪意あるプログラムが 2007 年に進化したのは、オンラインゲームやゲーム業界が全体として進化した結果です。現在では、仮想財産やゲームのキャラクターを盗むことが、儲かるビジネスになっています。オンラインゲームのパスワードを盗むための普遍的なアルゴリズムは、年の初めには存在していませんでしたが、年末には利用可能となっていました。

現在では、オンラインゲームのパスワードを盗むために作られた新種のワームが世界中で連日 8、9 種類、ゲームを狙うトロイの木馬は 1 時間に 5、6 種類が登場しています。注目すべきは、ゲームを標的とする最新世代マルウェアの高度化が、ゾンビネットワークの構築に利用される汎用のトロイの木馬に匹敵する水準となっていることです。

今ではもう、オンラインゲームで使われる貴重品を取り引きするブラックマーケットが、経済の法則に従って成長し、成熟しています。ウイルス作者の活動も、こうした動向と密接に関連しています。

下の図は、「sell account (アカウント売ります)」(青)、「buy account (アカウント買います)」(赤)、「hack account (アカウントをハッキングします)」(黄) という検索に基づいて Google (google.com/trends) が発見したリンクの数を示しています。

google.com/trends で「sell account、buy account、hack account」を検索した場合の結果
[http://www.google.com/trends?q=sell+account%2C+buy+account%2C+hack+account&ctab=0&geo=all&date=all&sort=0]

この図では、これらの話題に対する関心が相関している実態が明らかです。アカウント売買の中で最大の割合を占めるのがオンラインゲーム関連であることから、オンラインゲームの貴重品を取り引きするマーケットにおいては、需要が供給を上回っていると結論付けることができます。しかも、アカウント売買に関する検索とアカウントのハッキングに関する検索の人気動向が一致していることは (3 本の曲線はいずれも夏に明らかなピークがあります)、このマーケットが犯罪と密接に関わっていることを証明しています。

ゲームのキャラクターや仮想世界の貴重品・財産を買いたい人の数が増え続けている以上、このマーケットは今後も引き続き拡大するでしょう。その結果、当分の間はウイルス作者がオンラインゲームへの関心を失うとは考えられず、オンラインゲームのプレーヤーを標的とする悪意あるプログラムの進化も続くことになります。マルウェア作者は、オンラインゲームを標的とする自己増殖型マルウェアにますます注目し、これまでに開発して悪意あるプログラムに取り入れてきたパスワード窃盗機能を、バックドアなど他のふるまいタイプに組み込んでいくのではないかと考えられます。

<<< 2007年のマルウェアの変化 | スパムに関するレポート >>>