機密情報の窃取やデータの破壊、個人情報の流出など、企業や個人をターゲットに行われるサイバー攻撃の事例は後を絶たず、総務省の情報通信白書によると2022年に観測されたサイバー攻撃関連通信数は2015年の約8.3倍にも上っています。
そして近年はeスポーツ大会もサイバー攻撃の標的になることもあり、大きな問題になっています。今回はネットワークとは切っても切り離せないeスポーツタイトルを襲ったサイバー攻撃の事例を見ていきましょう。
サイバー攻撃によって大きな被害を受けたのは、『League of Legends(LoL)』の韓国トップリーグ「LCK」です。『LoL』の強豪国である韓国の国内リーグはeスポーツプレイヤーとして世界的に有名なFaker選手も在籍している非常にハイレベルな環境で知られ、韓国語だけでなく英語でもライブ中継が行われるなど、国内外に多数のファンを抱える人気のリーグです。
リーグ戦は専用の会場にて毎週オフラインで開催されており、多くのファンでにぎわっていました。2024年2月に行われていた試合中に突如として選手が試合から切断されてしまう現象が発生し、試合は中断。懸命に復旧作業が行われたもののネットワーク問題は解決せず、試合が終了したのは予定より7時間も遅れてのことでした。
このケースで行われていたのは、多数のコンピューターから特定のサーバーへ大量の通信を送り込むことで処理をストップさせてしまう「DDoS攻撃」と呼ばれるものです。LCKの試合が行われていたサーバーがDDoS攻撃によってダウンしてしまったため試合が続行不可能になり、継続した攻撃によって復旧にもかなりの時間を要しました。
事態を重く見たLCKでは翌週からオフライン会場での開催を取りやめ、配信も事前に録画した対戦の模様を放送する方式へと変更。実際に試合をしている時間を隠すことで対戦中を狙ったサイバー攻撃を回避するための措置でしたが、既に販売されていた観戦チケットの返金対応など、大きな影響を及ぼす結果となりました。
さらにLCKは試合会場に外部のネットワークから独立したサーバーを導入することでネットワークを保護し、以降は通常通りオフラインでの試合を開催しています。独立したサーバーはeスポーツ向けに限らずネットワークを保護する一般的な手法ですが、韓国は高水準のネットワーク環境が整っている国という背景もあり、これまで導入はされていませんでした。
これで試合に関しては問題なく進行できるようになりましたが、以降も通常のサーバーに対するDDoS攻撃は続いています。一部のチームは選手が練習時に使用しているIPアドレスを特定されて攻撃を受けており、練習に支障をきたすケースも出ています。
今回の攻撃については攻撃者の動機も明らかになっておらず、世界的に注目されているeスポーツリーグを騒がせることを狙った愉快犯の可能性もあれば、リーグや特定のチーム、あるいはゲームそのものに不満を持つ人物からの嫌がらせとも考えられます。いずれにしても攻撃への対処、そしてプロ選手の接続が特定されないための防御策と、セキュリティ面での対策が求められる状況になっています。
2024年3月に行われたバトルロイヤルFPS『Apex Legends』の北米地域の公式大会では、一風変わったサイバー攻撃が行われたことで大きな話題を呼びました。大会に出場している選手のPCがハッキングされ、「チート」が勝手に使用されている状態になってしまったのです。
選手は本来見えないはずの敵の位置が表示されていたり銃弾が自動で敵に当たる状態になっていたりと、明らかに通常と異なる挙動を確認し、自らプレイを中断。ほどなくして試合そのものは中止されましたが、大会の模様が配信されていたこともあり、この事件はユーザーの間へと瞬く間に広がりました。
特に事件直後は詳細な事象が明らかになっていないこともあり、混乱は拡大。一部では「『Apex Legends』と同じアンチチートシステムを使用しているゲームは全てハッキングされる可能性がある」との意見もあがり、SNS上では知らぬ間にチート使用者としてBANされないよう、該当タイトルのプレイを控えるよう呼びかける投稿も見られました。
本件については程なくしてハッキングの実行犯が名乗り出ており、「ゲーム内に存在する脆弱性を知らしめて修正させるため」と攻撃の意図を説明しています。注目を集めるため大会に出場している中でも人気の高い選手を選んでハッキングを行いましたが、選手が故意にチートを使用したと誤解されてキャリアが傷つかないよう、ハッキング後の画面に自らのハンドルネームを表示させていたことも明かしました。
程なくして問題となった脆弱性を修正するアップデートが実施され、延期となっていた大会も無事に実施され事態は収束しましたが、アンチチートシステムの開発会社が「自社のプログラムには問題ない」と声明を発表するなど、ゲーム業界全体で大きな注目を浴びる事件となりました。
不正アクセスのきっかけとなりうるソフトウェアの脆弱性はゲーム業界に限らずセキュリティにおける重要なポイントです。できるだけ脆弱性のない開発・アップデートに務めるのはもちろんのこと、脆弱性を発見して通報したユーザーには報奨金が支払われる制度もよく導入されており、過去には任天堂やソニーもゲーム機のOSについて同制度を活用し、修正を進めてきました。
今回の『Apex Legends』における問題では、開発メーカーやパブリッシャーが脆弱性報奨金制度を導入していないことも攻撃を決断した要因であるとハッカーは明かしていますが、必ずしも報奨金制度のみが解決策ではなく、セキュリティに関する知見を業界全体で共有するなど、あらゆる手法が今後は検討されていくでしょう。
掲載日:2024年5月16日