マルウェアをなくすにはお金をなくしてしまえばいい、という話
McAfee Averrt Labs Blogに出ていた「MMORPG-Gold-Farming and Password-Stealers」という記事なんだが。
記事はまず、GMworker.comというサイトに出ている「The Price For Gold On The EURO Realm Dropped again.」という記事を引用している。このブログの読者の大半はオンラインゲームをやったことのない人、と想定されているのだろう。「吊って」いるわけだ。で、種明かしをする。
No, it’s not the same gold that we have known for thousands of years; it’s virtual gold which MMORPG gamers compete to obtain in order to increase their wealth and power.
本題は、オンラインゲームのパスワードを盗むことに特化したマルウェアが出ているという最近の動向の紹介。このトレンドは3年ほど前に始まり、MirとかLineageとかWoWとか向けのトロイの木馬が出回ったらしい。最近はさらに進化して、
The worrying thing is the number of variants that we come across everyday and the variety of techniques malware writers have been using; starting from keyloggers, rootkits, to network sniffers, and the most recent file-infector, W32/HLLP.Philis.
と何でもあり状態。
で、対策はという話になるわけだが、この記事の著者は「抜本的」な解決をご提案している。下線部のところ。
People within the MMORPG communities have issued several calls to the providers of these games to try and make it harder to do “gold farming”. Genuine players don’t want to see other people staying around and ruining their games. On the other hand, us, here in Avert Labs issue a similar call to the same vendors to try and make it useless for malware writers to write password-stealers for these games. These Trojans and viruses are written for profit, so let’s try to stop the reason they were written for.
要はRMTができないようにすれば、利益を出すことができなくなるから、マルウェアを作る理由がなくなるというわけだ。確かにこれなら抜本的に解決する。いやめでたしめでたし。
でも、いったいどうやって。
多くのオンラインゲームではRMTを禁止しているが、実効性のある防止手段をとるのは実際にはなかなか難しい。もともと需要と供給があるから発生するものであり、しかもゲーム外での現金のやりとりはゲーム会社にはいかんともしがたいからだ。一方で、RMTに向かう需要と「共存」するためのさまざまな策を打ち出す会社も多い。最近増えてきたアイテム課金制もその1つのあらわれだし、Second LifeのようにRMTを前提としているものもある。もちろん私はRMTを礼賛しているわけではないし、それをルールとして禁止しているゲームにおいてそうした行為をするのはプレーヤーとしてよくないと思う。私も対策のアイデアをいくつか提案したことがある(長くなるのでここには書かないが)。しかし現実社会におけるさまざまな問題と同様、これも単純に禁止するだけでは解決しないのだ。そもそも、問題なのはRMTそのものではなくそこに入りこむマルウェアなわけで、それらをごっちゃにするのは「詐欺を働く者がいるからネットオークションはすべて廃止すべきだ」と主張するに等しい。
仮にAvert Labの考えに従うとして、「マルウェアの目的となる利益を生むRMTを排除する」ためにはどうしたらいいか。もしどうしても「本気」でやりたければ、「抜本的」な解決法はありうる。ゲームからお金や財、あるいはその交換といった要素をすべて取り除いてしまえばいいのだ。とはいえこれはけっこう難しい。理屈のうえでは、オセロゲームでだってRMTは生じうるのだ。「その白待って!100円払うから」てな具合で。突き詰めれば、オンラインはやめてオフラインのゲームに特化せよ、ということにすらなりかねない。
しかし、思うにこれはある意味「汎用性」のある解決法ではある。もしこれが有効だと思うなら、Avert Labはぜひこれを全世界に広めていっていただきたい。フィッシング詐欺に悩む銀行業界に対しては、「オンライン決済をやめればいいんです」、詐欺行為の横行をどうにかしたいネットオークション会社には「オークションでなくプレゼントの相手を探すサイトに変えなさい」、偽造通貨に手を焼いている中央銀行には「紙幣の発行をやめれば問題の大半は解決しますよ」。ええい面倒だ、世の中からお金などなくしてしまえ!
よりつきつめて普遍化するとこういうことになるだろうか。財産上のリスクを回避する最良の方法は、財産を持たないことだ、と。犯罪者の狙いは金だ。ならばお金をなくせば、犯罪の目的がなくなり、犯罪のターゲットにもならなくなる。世の中全体でやれば、犯罪はなくなるわけだ。よかったね。ついでながら、その節にはこのMcAfeeという会社も不要になる。よかったね。
なんていうのはまあ当然ながら本気ではない。現実世界でも、ゲームの世界でも、経済というのはそんなに単純なものではない、と主張したいだけだ。
「Imagine no possesions」と歌ったのはこの人。「I wonder if you can」とも。いい歌だと思うんだが、彼自身も、自らの財産を手放そうとはしなかった。Can you?
The comments to this entry are closed.
Comments
私はRMTを無くす(減少させる)には、RMT取引に置けるゲーム内の買い手にゲーム内罰則を与えれば良いと考えています。
例えばアカウントの停止やゲーム内資産の没収等を行えば、RMTの買い手側がゲーム内で非常に大きなリスクを背負う事になり、RMTの需要も減少するだろうというものです。(FUDと言うんでしょうか)
問題はどうやってRMT取引をゲーム内で摘発するかですが、現実世界の取引と違い仮想貨幣の流れは格段に追い易いはずなので、BOT等の供給源から辿ればどうにかなりそうな気がします。
RMT市場が縮小すれば、ついでにBOTも減るはず・・。
Posted by: oubakiou | October 26, 2006 07:15 AM
oubakiouさん、コメントありがとうございます。
たいていのゲームのEULAでは買い手と売り手を区別していないのではないかと思います。つまり現状でも「処分」自体は可能なわけですが、行われていないのは、ご指摘の通り発見が難しいからです。
技術的に可能ということと、現実的に可能ということとはちがいます。BOTの発見なんかはゲーム会社がすでに行っているでしょうが、まだ不充分だということなら、体制を強化することになります。しかしそれはコスト増を招くことなので、限度があります。現実社会において、警察官の数を今の10倍にしてすべての通信を傍受できるようにしたら犯罪が大幅に減るはずなのになぜやらないのか、ということと同じです。ユーザーはRMT対策のために追加の利用料金を支払うでしょうか。そこらじゅうにGMがいて尋問とかされてもいいですか?
Posted by: 山口 浩 | October 26, 2006 08:15 AM
「BOTをなくすにはRMTをなくしてしまえばいい」です。
確かに警察官を100倍雇えば100倍のコストがかかります。言われる通り、BOTの取り締まりに人力で対応しようとしても限界があります。
でも、MMO内のアイテムや仮想貨幣の流れからRMT取引やその取引に関わったキャラクター(アカウント)をプログラムでリストアップする事は割と簡単に出来るのではないかと思います。(こういった仕組みを新しく実装するなら、それもコストですが)
RMT市場の縮小を狙うなら、むしろBOTを発見してもそのまま泳がせて、そのBOTから出て行くアイテムの流れを追跡し、非BOTアカウントへ辿り付いた所で、その非BOTアカウントに何らかの措置、例えばゲーム内資産の凍結を行うというイメージです。(誤検知の問題もあるので、そこまで単純にはいかないでしょうが)
リスクを恐れてRMT市場の買い手がいなくなれば、RMT目的のBOTも市場も減少しますし、お金が絡まなければ通信の暗号化諸々の技術的なBOT対策をクラックする人的なリソースも削がれ、結果的にはRMT目的だけではなく個人利用のBOTも無くなるかもしれません。
ちょっと出来過ぎですが。
Posted by: oubakiou | October 26, 2006 09:16 AM
oubakiouさん
>でも、MMO内のアイテムや仮想貨幣の流れからRMT取引やその取引に関わったキャラクター(アカウント)をプログラムでリストアップする事は割と簡単に出来るのではないかと思います。(こういった仕組みを新しく実装するなら、それもコストですが)
少なくとも現在人気のあるゲームにおいて、こうしたしくみは実装されていません。いくつかの企業の方に聞いたところでは、ご指摘の「それもコスト」部分がネックになっているようです。私は素人なのでわかりませんが、技術的、コスト的に、想像する以上にたいへんであるらしいと。
BOTを泳がせて利用者を罰する方式は、私の知る限り、社会的にあまり受け入れられないと思います。この種の問題は、現実社会における刑法の適用と同じように、「だいたい合っていればいい」というより「まちがった処分をするおそれがあるくらいなら処分そのものを控える」類の対応をするというのが企業としての基本的姿勢と考えられているように思います。
ご指摘のように、「単純にはいかない」のです。私がMMORPGの運営会社を「政府」になぞらえている意味のひとつは、そうした面です。政府が権力の行使にあたって「だいたい合っていればいい」という姿勢を理論的にはとることができても、実際にはそうはしません(某国じゃあるまいし)。ああすればこの問題が、こうすればあの問題がというように、あちこちで「事実上」の縛りがあるのは、むしろ私たちの自由を侵害しないためです。オンラインゲームは仮想の世界ですが、そこに築かれた社会的関係は現実であり、現実社会におきるさまざまな問題点も同様に発生します。さまざまな工夫がなされていくでしょうが、そのいずれに対しても、万能の「魔法の杖」を期待すべきではないと思います。
Posted by: 山口 浩 | October 27, 2006 03:10 AM