米国に本拠を置く、フィッシング対策の業界団体であるAPWG(Anti Phishing Working Group)主催の「ネット犯罪対策運用サミット(CeCOS II: The second annual Counter-eCrime Operations Summit)」は今年で2度目となる開催を、東京で5月26日 - 27日に行った。本会議では、非常にさまざまな企業や組織からやってきた講師が講演を行い、ネット犯罪の対策をテーマに幅広い内容が扱われていた。中でも、オンラインゲーム業界の情報セキュリティは聴衆の耳目を集めていた。たとえば、RMT(リアルマネートレード)を目的としたマルウェアは東アジアに特徴的な事象であることから、その背景に注目が集まったようだ。本稿では、RMTについて言及のあった2つのセッションを取り上げたい。

***

まず、「オンライン決済のセキュリティ事情」としてビットキャッシュの片山昌憲氏の講演をご紹介する。同氏は、ネットビジネスの市場が2007年度に4兆4,200億円ほどの規模に拡大しており、そこで使用されるオンライン決済は1,441億円と、他の市場が大きくなればなるほど大きくなる市場であると説明。その市場には、たとえば音楽配信やオンラインゲーム、ブログSNSなどが含まれるのだという。次にRMTについて図を使って説明したうえで、RMTサイトへの不正な支払い方法について「ほとんどが、中国の方々が北米から不正入手したクレジットカードを日本で使用している」と指摘。その上で「我々(ビットキャッシュ)自身も、フィッシングやハッキングを受ける可能性がある」という。

そのような事例として、同氏はNTTカードソリューションズにおけるネットキャッシュの盗用事件についてふれた。この事件では3億円分のネットキャッシュが漏えいしたが、被害額は327万円であったという。その理由として、同氏は「たくさん盗んでも、使い切れなかった」ためであるという。

さらに同氏は、フィッシングなどによって盗み出したクレジットカードを利用する不正ユーザこそが悪であると指摘。そのうえで、フィッシングが発生し、それが発覚するまで最短で2カ月はかかってしまうという。たとえば、ユーザが請求書を見てからカード会社に不正使用を報告したとしても、請求書の発行自体は通常1カ月後であり、すべては使用されたあとになっている。また、決済関連の企業ではログは半年から1年間保存しているが、IPが仮に特定できたとしても、不正ユーザに到達できる可能性は、時間が経過すればするほど難しくなっていく。

クレジットカードの不正使用に関する対策として同氏が説明したのがライブドアの例である。ライブドアはショッピングモールを2004年から開始しており、クレジットカード不正利用が後を絶たずトランザクションを24時間目視で監視するようになったという。2004年度においては、1日あたり200万、1カ月あたり6,000万の不正利用が認められていたが、この対策により実害はその1/200程度であったという。その後、VISAによる本人確認手段として3D Secureを導入し、実害ゼロに(2005年3月以降)なった。

このような状況にあるのは、オンラインゲームを含むデジタルコンテンツの価値がどんどん上昇していることが背景にあり、したがって、価値が上昇するにつれてネット犯罪の対象となっていくのは「当然といえば当然」だという。しかし、それらは実世界における金銭的被害は、というとゼロになってしまう、したがって警察に被害届けを出すことをしない。そして金銭的な実質を受けることがないので、セキュリティへの関心が低くなってしまうことを同氏は懸念しているという。