PR

 今回取り上げるTSPY_LINEAGE.KJIは,オンラインゲームの1つであるMMORPG(多人数同時参加型オンラインRPG)のユーザー名やパスワードを採取する不正プログラムである。トレンドマイクロのウイルスパターンファイルに登録されているTSPY_LINEAGEファミリーの亜種のシグネチャ数は,2005年1月には10種と少なかったが,2006年10月以降は毎月2000個以上の新種の不正プログラムが出現した。2007年12月の5834種をピークにいったん減少したが,2008年9月以降急激にその数は増加し,2008年11月4日現在総数は12万弱に上る(図1図2)。

図1●特定のMMORPGのユーザー情報を採取する不正プログラム・シグネチャ数推移
図1●特定のMMORPGのユーザー情報を採取する不正プログラム・シグネチャ数推移
図2●特定のMMORPGのユーザー情報を採取する不正プログラム・シグネチャ新規登録数推移(月別)
図2●特定のMMORPGのユーザー情報を採取する不正プログラム・シグネチャ新規登録数推移

 パターンファイルに登録されている不正プログラムの実に3分の1が特定のMMORPGのユーザー情報を採取する不正プログラムが占めているのである。なお,ウイルスパターンファイルに登録されているシグネチャは,不正プログラムと検出用のシグネチャが必ずしも1対1の関係ではないため,この数自体はMMORPGの情報を盗む不正プログラムの実数ではないことを付け加えておきたい。

 オンラインゲームのユーザー情報を採取する不正プログラムの増加の背景には,RMT(リアルマネートレーディング)市場の拡大が関係している。RMTとはオンラインゲーム上のアイテムや通貨を,現実世界の通貨と交換する行為のことである。この取引はRMT専門の仲介業者サイトや掲示板サイトなどで頻繁に行なわれている。

 MMORPGの世界では,特定の仮想通貨が使用されている。あるRMT仲介業者のサイトを確認したところ,あるMMORPGの仮想100万通貨が約1100円で程度取引されていた。その仮想100万通貨の価値について複数のMMORPGユーザーに聞いたところ,レベル52以上であれば,大ざっぱに10時間程度のゲーム時間で100万通貨を得ることが可能とのことである。

 10時間で1100円であれば,ほかのアルバイトをした方が時給が良いとも思えるが,物価が安い国であれば,仮想通貨を集めて換金するだけで相当な価値となる。また通貨以外にも,ゲーム内のアイテムが実際の金銭で取引されている。レアアイテムの中には,27万6000円で売りに出されているものもあった。このアイテムを取得するためにどれだけの労力を要するのか分かりかねるが,この通貨やアイテムの値段を見る限り,日本以外からの攻撃者にとって不正プログラムを使用してのハッキング行為は大きなモチベーションに繋がると再認識した。

 その上で,改めて日本以外からの攻撃者の視点で考えると,不正アクセスによって得た仮想通貨をRMTで換金する行為は,昨今の円高で海外で犯人が自国通貨への両替を行なう際にうまみが増している。2008年9月以降の円高と,MMORPGのユーザー情報を採取する不正プログラムシグネチャ新規登録推移の急増の間には,少なからず関係があるのではないだろうか。

 さて,随分と前置きが長くなってしまったが,今回はTSPY_LINEAGEファミリーがどのようにユーザー名とパスワード情報を採取するのかを検証してみる。検証環境用に1台のマシンを用意した。テスト機にはWindows XP SP2と特定のMMORPGをインストールした。

 まず,「Wireshark」というネットワーク・プロトコル・アナライザを起動させながらテスト機上で「TSPY_LINEAGE.KJI」を実行した。続いてMMORPGを起動し,ユーザー・アカウントとパスワードを入力した。次に,アカウントの不正使用の防止を目的とした4けたのパスワード32セット(1番~32番)からなるセキュリティカードの番号を入力した。毎回ログインするたびに,この32セットのパスワードの中から1つをランダムに入力させる仕組みである。