定期更新型ネットゲームのセキュリティ入門 ~参加者編~
世は一大定期更新型ネットゲーム時代である。
楽しいネットゲームも、万全なセキュリティあってこそだ。特に定期更新型ネットゲームは個人開発・個人運営が大半を占め、GAFAのような大手企業ほどのセキュリティ対策を期待しづらいのも現実だ。
ゴキブリ並みにどこにでもいるのが攻撃者である。多くはEメールアドレスや電話番号など、個人情報をサービスに預けていないとはいえ、アカウントを乗っ取られたが最後、データ削除やなりすまし、罠サイトへの誘導など、さまざまな悪質な行為・犯罪行為があなたのアカウントで可能になる。
この記事では定期更新型ネットゲームに参加するにあたり、セキュリティ面で気を付けるべき点を述べる。すべて基本のキなので、ぜひ取り入れてほしい。
私はソフトウェアテスト業界(セキュリティ業界ですらない)の隅っこにいるよわよわエンジニアだ。有識者の方々、ご意見ご指摘ありましたら、ぜひコメントをお願いします。お待ちしています。
また、当記事は開発者向けへの文章も載せる予定だったが、参加者へのメッセージで相当な長さになったので切り分けた。開発者向けは執筆中だ。気長にお待ちいただきたい。
パスワードは最大限長くする
理想は登録できる最大長だ。8桁より16桁、16桁より32桁のほうがはるかに強い。もちろん数字のみや個人情報は論外だ。できるだけ類推されづらいパスワードにしよう。4桁程度では、どんなに複雑にしても存在しないも同然である。
ちなみに、12桁程度以上の文字数が許容されるなら、往年の「英数字記号混じり」を気にするより、とにかく長くしたほうがいい。
とはいえ、そんなに長いパスワードは覚えられない!
そんなときはパスワード管理アプリを使おう。ブラウザについているパスワード管理機能(自動でパスワードを入力してくれるアレ)も良いが、専用のアプリはもっと快適で便利だ。
私のおすすめはBitwardenだ。クラウド利用だから、各デバイスから使える。個人なら無料で使えるから、とりあえずネットゲーム用途にだけ使い始めてもいい。パスワード自動入力はもちろん、指紋認証、顔認証、安全なパスワードをランダム生成してくれる機能まである。
え? アプリにパスワードを保存するのが心配……?
脳内で覚えられる範囲のパスワードだけ使うか、最大長の複雑なパスワードを信用ある法人製のアプリに覚えさせるか。どちらが安全かは明白だ。
それでも心配な方は、さらに詳しい方の解説記事をどうぞ。
パスワードを使い回さない
なぜか? あなたのパスワードが漏れてしまうと、ほかのサービスにもログインされるからだ。
もしすべての定期更新型ネットゲームで同じパスワードを設定すると、一つのゲームのパスワードが総当たり攻撃などでバレた場合、ほかのすべてのゲームにも不正アクセスされてしまう。
(多くの定期更新型ネットゲームは、IDにあたる情報がEnoという公開情報なので、余計にすぐ不正アクセスされる。)
また、Google、Amazonなど、重要なサービスとパスワードを使い回した場合、もちろんそちらにも不正アクセスされてしまう。
理想はすべてのサービスで、異なる複雑な最大長のパスワードを設定することだ。そんなにたくさん覚えられない? 大丈夫。パスワード管理アプリがあればね。
……Bitwardenからは1円も貰っていません。あしからず。
フリーWi-Fi、公衆Wi-FiでSSL/TLS非対応サイトにアクセスしない
よく「フリーWi-Fi、公衆Wi-Fiは危険!」と言われるが、実際なにが危険なのだろうか? ざっくり説明しよう。
これが、あなたからWebサイトを通じて、Webサーバに送られる情報だ。
この情報、実は同じネットワーク内ではすべて公開されている。よって、通信監視ソフトウェアなどを使えば、かんたんに他人の通信内容を取得できる。
※通信監視ソフトウェア自体は合法である。社内ネットワークの監視やソフトウェアのテストなどに使われている。
たとえば、あなたがフリーWi-Fi、公衆Wi-Fiでログインするとき、Webサーバへ送られる情報はこんな感じだ。
もし通信を監視している人間がフリーWi-Fi、公衆Wi-Fiにいた場合、「○○ゲームのEno.XXXってアカウントのPASSはaiueoか~」とすべてわかる。どんなにパスワード管理を厳重にしても水の泡だ。
これでは困るので、導入された仕組みがSSL/TLSだ。要は、URLの最初がhttpsになっているやつのことだ。
こうなっているサイトでログインするとき、Webサーバへ送られる情報はこんな感じだ。
通信内容が暗号化されている! SSL/TLS対応のサイトであれば、通信が監視されていても、IDやパスワードなどはバレないのだ。(あて先はバレる)
とはいえ、監視される可能性そのものがリスクである。心配であったり、重要な通信(ネットバンキングなど)をするときは、フリーWi-Fi、公衆Wi-Fi自体の利用を避けよう。
※ここ数年で無線LAN通信そのものの暗号化も進んでいる。しかし、フリーWi-Fi、公衆Wi-Fの暗号化はすべてが十分とは言えないうえ、攻撃者が用意した悪意あるフリーWi-Fiに接続してしまう危険もある。前述のとおり、重要な通信ではそもそもフリーWi-Fi、公衆Wi-Fiを使わないことが大切だ。
番外:大手サービスでは二段階認証を設定する
定期更新型ネットゲームでは、たまにソーシャルログインで間接的に採用されているのみだが、重要なことなので採用した。
GoogleやTwitter、Instagramなど、大手サービスではまず二段階認証が用意されている。パスワードのうえで、電話番号やショートメッセージなど、パスワード以外の手段で本人確認をしなければログインできない仕組みだ。
これは面倒くさがらずに絶対に設定したほうがいい。防御の手段は多ければ多いほど良いのだ。
でも万が一スマホを失くしたときが心配? そんなときは二段階認証アプリを使おう。複数のデバイスを使って二段階認証を行えるようになるため、紛失リスクに備えられる。私のおすすめはAuthyだ。
英語のみ対応だが、たいした英語はいらない。GoogleやMicrosoftも似たようなアプリを出しているが、紛失リスクを考えると、クラウド管理のコレが一番使いやすい。日本語の解説は以下のサイトにある。ありがとう先達。
さいごに
セキュリティを強化して、楽しい定期更新型ネットゲームライフを!