8年間，悲喜こもごもいろいろなことがありました。「ラグナロクオンライン」8周年特別企画，RO歴代関係者に集まってもらい座談会を開いてみました

　

BOTからアカウントハックへ手口は進化

対応が法律の壁に阻まれることも……

4Gamer：
　2000年の前半〜中盤にかけては，先ほどお聞きしたようにBOT/RMT業者との苛烈な戦いがあったわけですが，近年の不正となると，どんなものがありますか。

太田氏：
　そうですね。まず最近のBOTは高性能で，とくにROのBOTは品質が高いです。ほかのタイトルのBOTに比べれば，かなり高性能だと思います。

4Gamer：
　いま活動しているBOTは，ということですよね。

太田氏：
　はい，そうです。ツールだけだったらイチコロなんですが，最近生き残っているものは，本当に手間暇かけてるんですね。この人達は，日勤夜勤のシフトを組んでキャラを見張っているのか，と思ってしまうぐらい，いつ話かけても「はい，います」と返事をするんですよ。

4Gamer：
　その筋の人であれば，画面の前には24時間誰かいるんでしょうしね。

太田氏：
　そうでしょうね。そしてこちらも当然BOTを手に入れているので，GMが話しかけたときどう反応するか分かってるんですよ。

新津氏：
　そのBOTツールの場合は，GMキャラクターが近づくと，自動的にアラートが鳴る仕組みになっているんです。

太田氏：
　それが，ほかの部署から苦情がくるぐらいうるさいんですよ。そういったもので，対応されているので，問いかけをしても反応されてしまうんです。基本の取り締まりは手動で証拠を抑え，ちゃんと動いているのにこちらの問いかけに反応できなかったら人間が操作していないよねってことで処分できるのですが，そこが通じない相手はやはり強いですね。

4Gamer：
　なにやら目的と手段が逆になってるようにも見えますね。

太田氏：
　BOTの用途としては，やはり金銭目的のBOTがそれなりにいるようで，自動で稼いだものをRMTで売って稼ぎにしてるようです。さらに1体放ってもたいした稼ぎにならないので，複数体放っている人達がいます。例えば，ログなどを見るとこの4体のBOTは同一人物が放っているのでは？　というのは現場のスタッフでしたら，あくまで状況証拠レベルですが大体分かるんですよ。
　そこで，4体同時に接触すれば応対できまいと，4人のスタッフで行ってみたんです。最初に話しかけられると，大抵は自動応対で「はい」って応えます。そのあと，アラートが鳴って相手が気がついてからが本当の勝負が始まりです。4人がそれぞれに問いかけをしますが，時間をあけて1体ずつしか返事が返ってきません。相手は1人ですから，同時にBOTの数だけ直打ちで返事ができないんです。それを見てると，ああ相手も人間なんだなぁと思ったり（笑）。

新津氏：
　そんな相手もいますが，BOTという利益を上げられる構造は確実に崩れつつあります。しかし，いま主流になっているのがアカウントハッキングなんですよ。

4Gamer：
　アカウントハッキングは一社二社の話じゃなく，業界全体的に深刻な問題ですね。

新津氏：
　以前は，友だちとか恋人だとか，身内のアカウントハッキングが主流だったんですが，アカウントハッキング自体が利益を上げられられる構造があるという認知から始まって，BOTツールにウィルスを仕込んでアカウントハッキングをして，アイテムをごっそり持って行ってしまうというウィルスタイプのアカウントハッキングが，2006年から2007年にかけて増えつつありました。いまは状況が変ってきまして，リスト型アカウントハッキングになっています。

4Gamer：
　リスト型ですか。

新津氏：
　例えば，ガンホーのポータルサイトでウィルスに引っかかったわけではなく，まったく別のサイトから，利用IDとパスワードが流失してしまう場合があります。
　オンラインゲームの普及に伴いポータルサイトが増えてしまったために，プレイヤーさんもいろいろなサービスを利用する上で，たくさんのIDとパスワードを管理しなくてはならない状況です。そこの手間をなんとかしようと，すべてのIDとパスワードを共通のものにしてしまうという傾向を逆手に取られて，別のところで盗んできたIDとパスワードをガンホーのポータルサイトで入力してみようという形になるわけです。
　そうした不正集団の中で，アカウントハッキングに使われる情報がリストとして横の繋がりで流れてしまっているようです。今年の件ですと，1日に何千回，何万回とアタックをかけられたことがありまして，ログを見るとアルファベット順に試されてるんですよ。おそらくどこかから情報をもらって，上から試しているんだな，という感じでした。

4Gamer：
　ROでのアカウントハックの被害は多いんですか？

広田氏：
　実被害でいうと，2008年がピークでした。年間で警察からの問い合わせが約500件は超えてました。プレイヤーさんからの投稿ベースでも1000件は超えていましたから，届け出をしていたのは氷山の一角だったと思います。さらに水面下ではもっとあったんじゃないかと考えています。

新津氏：
　IDやパスワードが抜かれてしまったとしても守れるような施策を用意していくべきですし，だからこそ同業他社も最近セキュア対策に乗り出しているのかなと思いますね。

広田氏：
　これまではウィルス対策ソフトをいれておけばよかったんですが，もうそれだけじゃ全然ダメで，IDとパスワードだけでなく，第三のパスワードも何らかの形で必要かなと考えています。

4Gamer：
　例えば，キャラクターパスワードですね。あれは，えーと……いつ頃でしたか。

新津氏：
　あれはデータ監視課時代に提案したものなので，2006年10月ぐらいですかね。

4Gamer：
　あれはアカウントハックへの対策で実装したんじゃないんですか？

新津氏：
　アカウントハックへの対策でもありますが，実はBOTに対する効果もあるだろうという面もありました。オートログインできなくなるのではないかということで，できる限り彼らに対して負担をかけてやろうという要素も含みで入れたという経緯もあります。

太田氏：
　あと，BOTだけの人もいるんですが，IPを見ていくと，特定のIPアドレスの一帯にはBOTもやるし，アカウントハックもやる，RMTで売買ももちかけるといった，悪いことをなんでもやるよって軍団がいるんですよ。

新津氏：
　ですから，両方の側面から対策しないとダメだろうというところはありましたね。

4Gamer：
　以前は倉庫にもパスワードを付けようかなんて話もありましたよね。

太田氏：
　利便性とセキュリティは表裏一体のところがあるので，あまり極端に縛る方向には考えたくないですよね。あまりがんじがらめにしても，不便なだけですし。

新津氏：
　倉庫にパスワード付けても，キャラクターが身に着けている装備はどうなるのかといった問題もあります。ですので，そこより前のところでセキュリティをかけるべきだろうと。それがキャラクターパスワードですが，それでもきっと問題が出てくるだろうということになって，それならログインする前に守ろうと，少しずつ守る部分を前にしようということになった経緯があります。

太田氏：
　我々がプレイヤーさんのIDやパスワードが詰まったデータベースをがっちり守っても，リスト型アカウントハッキングに対しては無力なところがあります。なので，仮にIDとパスワードが奪われてもデータが守れるように，2009年のワンタイムパスワードや2010年11月のIDロックなどで防げるようにしています。
　しかし，その設定が面倒くさいという問題があります。ワンタイムパスワードにしてもパスワードが一つ増えるわけですから，手間がかかります。一度使えばそれほどでもないんですが，実際の利用率は10％前後なんです。残り90％はそういったセキュリティ対策を利用していません。我々としても，より安全に遊んでいただくために，セキュリティのご利用を訴えかけていかなければと思っています。

新津氏：
　インターネットが普及し始めたころは，まだ個人でセキュリティ対策ソフトの使用は重要視されていなかったのですが，いまは当たり前になっています。しかし，現在アカウントハッキングの被害に遭われているプレイヤーさんも，セキュリティ対策ソフトはちゃんと入れているプレイヤーさんがほとんどなんですよ。ですので，さらなるセキュリティ対策を入れるというのを前提として進めていきたいので，今後はIDロックやワンタイムパスワードの普及率を上げる施策を行なっていきたいと考えています。

4Gamer：
　そうした自分の身を自分で守るというのは，これから，より必要になるだろうと思います。その一方で，アカウントハックといった犯罪そのものを抑制するもの，つまり法整備という点では，どのようにお考えになっているのでしょう。

新津氏：
　現状の不正アクセス禁止法は，罰金刑や懲役刑という観点から見ても非常に軽い処罰になっています。また，我々の管轄で言うと，中国を含めた海外からのプロキシサーバーを経由しての不正なアクセスに対して日本の法律では取り締まれない，国境の壁みたいなものがあるんですね。そういった問題もあって，犯人を逮捕した実例は……ないんだよね？

太田氏：
　日本人相手であれば，あります。

4Gamer：
　民事で訴えることはないんですか？

新津氏：
　民事に持ち込む場合は，相手の情報をそろえた上でないと告訴できません。我々の通信から得られた情報でしか調査できないので，捜査権がない以上は相手の特定ができないので裁判に持ち込むのは非常に厳しいです。日本人の場合も同じですね。IPまでたどれてある程度の地域までは絞れるのですが，プロバイダ側から電気通信事業法の都合で情報公開できませんよといわれるとそこまでとなります。結局は刑事事件として扱って頂かなければ，その先に行けないというというのが実情です。じゃあどういう法律で取り締まればとなると，それに相当する有効な法律がないんですよね。

4Gamer：
　今できるとしたらアカウントハッキングで，ぐらいでしょうか。

広田氏：
　あとは威力業務妨害とか，プロキシサーバーを立てたことによる通信事業者法違反とかですね。別件逮捕でということになってしまいますね。

4Gamer：
　やっぱり根本的な解決にはなってないんですね。

太田氏：
　不正アクセス禁止法も国境の壁さえなければ，プロキシサーバーを踏み台にしていてもそこまでは辿れるのですが。警察なら，プロバイダから情報を開示させる力を持ってますからね。ただ，その先が例えば中国だったとしたら，現地の警察は協力してくれませんから，大体のものはそこで迷宮入りとなってしまいます。国際協力できるような環境になれば，いいなと思いますね。

4Gamer：
　インターネット上の制限云々ではなく，そうした法整備をなんとかして欲しいという思いはありますね。

「ガンホーゲームズ」セキュリティ対策ページ

オンラインもオフラインもイベントてんこ盛り！

今後はWebやUstreamなどさまざまな手法で展開も！

4Gamer：
　かなり重い話題が続きましたね，話を一度戻しましょう。では，2006年にはどんなことがありましたか。

千葉氏：
　2006年は，GMの手動イベントからスクリプトイベントへ切り替わる時期ですね。その影響もあって2005年はイベントが少なかったんですけどね。

畠山氏：
　ワールドが多くてリソースが追いつかなかったんですよね，あの頃はもう。

4Gamer：
　2005年はまだ手動だったんですね。

千葉氏：
　ほぼ手動ですね。イベント用にシフトを組んで，リハーサルを行なって確認してからイベントをやってました。

畠山氏：
　2006年は私が制作課，千葉がイベント課にいて，2人で連動してスクリプトイベント作ろうってことになって，アマツの納涼泉水祭を作りました。そこでのミニゲームが評判がよく，次はもうちょっと規模の大きいものを作ろうかということで蜃気楼の塔などのスクリプトイベントが確立していきました。

アマツ納涼泉水祭

4Gamer：
　水面下で動いていたのが，ようやく報われる時が来たんですね。

畠山氏：
　スクリプトで好き放題やってやる！　って感じでしたね（笑）。

千葉氏：
　蜃気楼の塔はPvEコンテンツだったので，もっとストーリー性のあるものを作ろうとモンスターサイドストーリーを企画，制作しました。最初はイベントのつもりで制作したのですが，期待以上の反響をいただけたので，永久実装という形で再実装することになりました。この辺りから徐々に我々が独自に作って提供できるようになり，初心者施策として冒険者アカデミーを実装したり，初期プロットからちゃんと練ってアカデミーシークレットストーリーを実装したりと意欲的にやり始められた感じですね。
　手動のイベントは，本当に限界があるんです。使えるコマンドは限られてますし，どんなにがんばってもクライアントの限界で一つのマップに200人ほどしか集められないんで，制限しなくちゃならないんですよ。参加してもらいたいのに制限をかけるという矛盾に葛藤することもありました。1時間2時間プレイヤーさんに楽しんでもらうイベントを作るのに1か月かかるということにもなってしまうので，コストパフォーマンス的にもどうなんだろうと。いまでもGMイベントやらないんですか，というメールなどをいただくんですが，ちょっと難しいですね。それはそれで良さはあるんですが。

4Gamer：
　いまはイベントでマップに人数制限するといったことはないんですか？

千葉氏：
　今はないですね。かけるイベントもありますけど。

4Gamer：
　先日のアニバーサリーイベントでは，プレイヤーが動けなくなるほどでしたよね。


千葉氏：
　実は，2009年のアニバーサリーイベントでは制限をかけたんですが，アンケートなどでそれに対する不満が多かったんです。それを受けて今年は無制限にしましたが，やっぱりダメでした。　襲撃イベントってちゃんと対応できれば華やかなイベントなんですが，過去には襲撃イベントなのにわざわざプレイヤーさんにマップまで出向いてもらわなきゃならないとか，人がいすぎて何が起きてるのかさっぱり分からないといったこともあり，あちらを立てればこちらが立たず状態なんです。多くのプレイヤーさんに集まっていただけるのは嬉しいですし，いろいろなご意見もいただいています。いっぱいご意見がいただけているうちに何とか解決したいと思っています。

4Gamer：
　蜃気楼の塔のようにレベル別にするわけにもいきませんからね。

千葉氏：
　そうですね。既存のマップにレベル制限をかけると，イベントとは関係なく入れない方が出てきてしまいますし，まさか街に制限をかけるわけにもいきません。なら専用マップを作ればという意見もありますが，それに気づかない人はイベントに参加できないということになってしまいます。あと，専用マップ襲撃してどうするの，という話もありますね（笑）。なので，その日1日だけはお祭りとして，割り切って楽しんでもらえればと思います。

4Gamer：
　お祭りとラグは，MMORPGの醍醐味……というわけではないですが，そういう部分も含めてオンラインの楽しさと思えればいいんですけどね。