HEART - XEBIO · 私たちはスポーツ業界のビジネスモデルを変革・創造していきます。 私たちはスポーツによって世の中を明るく元気にしていきます。
1 © 2020 Akamai | Confidential...「Steam のサポートを装い、私のSteam アカ...
24
© 2020 Akamai | Confidential 1
Transcript of 1 © 2020 Akamai | Confidential...「Steam のサポートを装い、私のSteam アカ...
-
© 2020 Akamai | Confidential1
-
© 2020 Akamai | Confidential2
犯罪の経済学
Jonathan SingerAkamai Technologies
-
© 2020 Akamai | Confidential3
1,590億ドル(2020 年まで)
出典:Newzoo Research
-
© 2020 Akamai | Confidential4
プレイヤーは価値の高い標的です
プレイヤー
-
© 2020 Akamai | Confidential5
プレイヤーは価値の高い標的です
プレイヤー
ソーシャルコミュニティで活発に活動している
自由に使える所得がある
自由に使える所得をゲームアカウントやゲームプレイに費やしている
-
© 2020 Akamai | Confidential6
「敵を知り己を知れば、百戦危うからず。敵を知らずして己を知れば、一勝一負す。敵を知らず己を知らざれば、戦う毎に必ず危うし」
― 孫子『兵法』
-
© 2020 Akamai | Confidential7
-
© 2020 Akamai | Confidential8
アジェンダ
犯罪の実行方法 犯罪者の目的 攻撃の緩和方法
-
© 2020 Akamai | Confidential9
犯罪者は企業運営を模倣しています
犯罪の実行方法
開発者
プロジェクト管理者
営業担当
QA 担当者
中間管理職
マーケティング/PR 担当
-
© 2020 Akamai | Confidential10
例:サービスとしてのボットネット
• マーケティング• ダイレクトセールス
• 機能要求• 製品のアップグレード
• サーバーレンタル• ドメインコントローラーの構築
• セントラルオペレーションのハブをコード化
• コーディング• QA 担当者
製品開発 運用
営業カスタマー
サービス
-
© 2020 Akamai | Confidential11
犯罪の実行方法 犯罪者の目的 攻撃の緩和方法
-
© 2020 Akamai | Confidential12
犯罪者の目的:
アカウントの乗っ取り
犯罪者はフィッシングや Credential Stuffing でプレイヤーを狙っています
フィッシング
Web アプリケーション攻撃
Credential Stuffing
-
© 2020 Akamai | Confidential13
フィッシング攻撃は今でも効果的です
• 「友達追加」リンクが不正アクセスにつながっている
• ゲーム内のレアアイテムの提供や交換を持ちかけられることが多い
• セキュリティ意識の低いプレイヤーを標的にする
• このような攻撃は非常に効果的
-
© 2020 Akamai | Confidential14
SQLi 攻撃と LFI 攻撃が最も一般的です
-
© 2020 Akamai | Confidential15
Credential Stuffing 攻撃は常に脅威です
-
© 2020 Akamai | Confidential16
例:プレイヤーアカウントの販売
アカウントの価値
• PII
• ゲーム内アイテム
• 仮想通貨
• ゲームの進行状況
[修正されたゲーム名]
-
© 2020 Akamai | Confidential17
犯罪の実行方法 犯罪者の目的 攻撃の緩和方法
-
© 2020 Akamai | Confidential18
攻撃の緩和方法
敵の具体的な目的を把握する
可視性とマルチレイヤーのセキュリティに重点を置く
プレイヤーと連携する
-
© 2020 Akamai | Confidential19
自問してみてください。
なぜ私なのか?
-
© 2020 Akamai | Confidential20
-
© 2020 Akamai | Confidential21
-
© 2020 Akamai | Confidential22
プレイヤーと連携する「...(セキュリティは)共同作業です。ゲーム業界は安全なソリューションを提供しなければなりませんが、プレイヤーはそのソリューションをないがしろにすることなく、適切に利用する必要があります…」
— 過去にアカウントをハイジャックされた経験があるヘビーユーザー
「Steam のサポートを装い、私の Steam アカウントに何らかの問題があるという内容のメールを送ることで、私の Steam アカウントを取得しようとする人物から、メール(経由)で複数の試行を受けたことがあります。また、Steam のサポートを装ったメッセージもいくつか受け取りました…」
— ハッキングを受けた経験のないヘビーユーザー
「セキュリティを適切に管理する責任はすべての人にあります…私は強力で安全なパスワードを設定しなければなりませんし、ゲーム会社は 2 段階認証や同様の追加セキュリティを提供する必要があります…」
— ハッキングを受けた経験のないヘビーユーザー
Akamai は、e スポーツの制作および放送組織である DreamHack社と提携して、セキュリティに対するプレイヤーの意識調査を行いました。
「すべての人に、必要なセキュリティを維持する責任があります。攻撃者は弱いところを狙うので、(プレイヤーは)自身が最も脆弱なリンクにならないよう常に注意する必要があります」
— ハッキングを受けた経験のないヘビーユーザー
「自分のセキュリティに関しては自分に責任があると考えています。しかし、ゲーム会社には、自社のゲームがバックドアとして悪用されないようにする責任があります」
— ハッキングを受けた経験のある非ヘビーユーザー(週に数回プレイする程度)
「...ビジネスメールによるわずか 1 回の攻撃試行で、Twitch、Twitter、Instagram、そしておそらく Steam も、ログイン情報が漏えいしました。ログイン試行を受けたのですが、幸いにも 2FA のおかげでほとんどのアカウントが助かりました…」
— ハッキングを受けた経験のあるプロのストリーマー
-
© 2020 Akamai | Confidential23
犯罪の実行方法 犯罪者の目的 攻撃の緩和方法
-
© 2020 Akamai | Confidential24
ご清聴ありがとうございました
Slide Number 1Slide Number 2Slide Number 3プレイヤーは価値の高い標的ですプレイヤーは価値の高い標的ですSlide Number 6Slide Number 7アジェンダ犯罪者は企業運営を模倣しています例:サービスとしてのボットネットSlide Number 11犯罪者はフィッシングや Credential Stuffing でプレイヤーを狙っていますフィッシング攻撃は今でも効果的ですSQLi 攻撃と LFI 攻撃が最も一般的ですCredential Stuffing 攻撃は常に脅威です例:プレイヤーアカウントの販売Slide Number 17Slide Number 18Slide Number 19Slide Number 20Slide Number 21プレイヤーと連携するSlide Number 23Slide Number 24
