はじめに
オンラインゲーム上の通貨やアイテムを現実の通貨で売買する RMT と言われるものが存在します。ゲームによっては禁じられていたり、公認されていたりしますが、この RMT が存在することによって、ゲーム内の通貨やアイテムや現実の価値と交換できうるものになっています。このことから、ゲームのアカウントをあの手この手で奪い取ろうとする悪人が現れています。
今回はこのことについて…というか、体験談というか、そんなものを書いてみたいと思います。
実際にあったこと
私はファイナルファンタジー XI(FFXI / FF11)をプレイしているのですが、先日レベル上げのパーティの参加中に次のような tell (このゲームにおけるキャラクター同士1対1の私信をやり取りするモードのこと)が送られてきました。
中央のピンクというかパープルの文字がそれです。曰く「〈募集中です。〉〈どういたしまして。〉〈リンクシェル〉 bbs:http://ffxivip.中略.com/bbs.htm」ということで、この URL にアクセスしてほしい、ということのようです。ちなみに「〈リンクシェル〉」のように前後を緑と赤の括弧に囲まれた言葉は「定型文辞書」と言われるもので、ファイナルファンタジー XI に関連する用語があらかじめ登録されており、この定型文辞書を使用すると各国語(日本語、英語、ドイツ語、フランス語)に変換されるものです(詳しくはこちら)。このため、このようにちょっと意味不明っぽい言葉のやり取りはこのゲームでは普通のことです(相手が自分の母国語と異なることが分かっている場合あるいは相手の言葉が不明な場合には定型文辞書を使うのです)。
しかし私はこの時点でぴ〜んときました。これはフィッシングだろう、と。そのため、後日専用の環境を構築してアクセスしてみました。まずはその HTML をブラウザを介さずに取得してみてみて内容を確認したところ、ファイナルファンタジー XI 公式サイトのサービスである FINAL FANTASY XI LINKSHELL COMMUNITY のエラーページを IFRAME で表示し、URL エンコードされた本体を JavaScript で展開してそれを実行するためのものでした。つまり、このページは公式の「FINAL FANTASY XI LINKSHELL COMMUNITY」を偽装しています。続いて Internet Explorer 6 SP1 でアクセスしてみました。そのキャプチャを以下に示します。
問題のページで展開された本体は JavaScript で書かれており、「Microsoft XMLHTTP の脆弱性(既にパッチが出ています)」あるいは「ADODB.Stream オブジェクトと Internet Explorer の組み合わせで発生する脆弱性(既にパッチが出ています)」を使用し、フィッシングサイトから実行ファイル(EXE ファイル)をダウンロードして実行するものです(なお、この実行ファイルを Norton Internet Security 2007 でチェックをかけてみたところ、危険なファイルとして検出をしませんでした。開発元のシマンテックにとって未知のファイルなのでしょう)。
さすがに実行ファイルの中身は詳しく調べていませんが WININET.DLL (HTTP や FTP などで通信を行うための DLL)などをインポートして使用していることから、何らかの情報(ゲーム内で URL を通知していることから、おそらくプレイオンラインの ID とパスワード)を抜き出して送っている可能性があります。
もしかしてアクセスしたかも・・・という方へ
現時点で最新の状態に保たれた Windows2000/XP/Vista 環境であれば問題ないはずです。気になるようであれば以下の対策をすることをお勧めします。
- プレイオンラインのパスワードを変更する(プレイオンラインにログインして、「サービス&サポート」→「会員情報」→「会員情報の確認」でパスワード入力して「ログイン」を選択→「任意の項目を選択してください。」の中から「プレイオンラインパスワード変更」を選択→現在のパスワードと新しいパスワードを入力して「進む」を選択で変更できます)。
- 324096 バイトで MD5 値が
9857a33468db5fdf180b8bffa8b84f36のファイルが存在するかどうか確認する(サイズだけでは関係ないファイルがたまたまこのサイズのファイルである可能性も否定できませんので、何らかのツールで MD5 値を計算して一致するかどうか確認する必要があります)。なお、ファイル名はランダムですので当てになりませんが、ディレクトリはSystemRootにあたるところに置くようです。Windows2000 ならC:\WINNTなど、WindowsXP ならC:\WINDOWSなどです。
既に自身のアカウントに何らかの変化が起こっている(ログアウトした位置と違うところに入る、アイテムが一部消えている、ギルが消えている)場合にはすぐにスクウェア・エニックスに連絡を取って状況を確認した方がよいでしょう。
まとめ
このように価値のあるところには詐欺やフィッシングがつき物になってきてしまいました。例えそれがゲームの中であってもです。ゲームの中だからと気を抜かずに、オンラインゲームではこういった方面に警戒した対応を取る必要があるということを改めて認識させられた一件でした。