セキュリティ

基本無料のゲームアプリが盗難クレジットカードの資金洗浄に利用されていたと報告される


スマートフォンで遊べるゲームアプリの中には「Free-to-play(基本無料)」のものがあります。この基本無料のゲームアプリを使って、盗難されたクレジットカードの資金洗浄が行われていた証拠を発見したと、ドイツのセキュリティ企業・Kromtechが報告しています。

Digital Laundry: how credit card thieves use free-to-play apps to launder their ill-gotten gains
https://kromtech.com/blog/security-center/digital-laundry


基本無料のゲームは、ゲームのアプリケーション・ソフトウェアの入手そのものは無料で、ゲームプレイも無料となっています。しかし、ゲームの完全版やゲーム内コンテンツの入手は有料という場合がほとんど。特に、有料のコンテンツを購入することでより有利にゲームを進められる「Pay-to-win」というスタイルのゲームは、お金を費やせば費やすほど強力なアイテムや魅力的なコンテンツをゲットできるので、基本無料のゲームでありながら桁外れの収入をパブリッシャーにもたらしてくれます。

ゲームによっては集めたアイテムや購入したアイテムを他人にプレゼントすることも可能なので、購入後のアイテムの価値は下がりません。それどころか、ルートボックス(ガチャ)で手に入るアイテムの中には、投入した金額よりも高い価値がつくものもあり、海外では大きな問題となっています。ゲームのアカウントそのものを売買することは規約違反であるにも関わらず、非公式の再販サイトやオークションサイトで譲渡・売買がまかり通ってしまっているのが現状です。


そんな中、Kromtechが保護されていないMongoDBインスタンスのセキュリティ監査を行っていたところ、オンライン上で公開された正体不明のデータベースを発見しました。その内部には大量のクレジットカード番号と個人情報が記録されていたため、念入りに調べたところ、このリストはどこかの企業から流出したものではなく、クレジットカード窃盗犯によって作成された比較的新しいものだということが判明しました。

さらにこのリストを調査すると、基本無料ゲームのアプリ・アカウント・コンテンツの再販用ウェブサイトを利用した複雑な自動システムや、盗難したクレジットカードから得た資金を洗浄するためのFacebookページなどが見つかりました。Kromtechの見積もりによると、このシステムは2018年4月末から2018年6月中旬までのおよそ1ヶ月半で約2万件の盗難クレジットカードを処理していたとのことです。


Kromtechの発見したクレジットカード窃盗団は、マネーロンダリングに基本無料の「クラッシュ・オブ・クラン」「クラッシュ・ロワイヤル」「MARVEL オールスターバトル」の3タイトルだけを使っていたとのこと。この3タイトルだけでユーザー数はのべ2億5000万人を超え、年間収入は約3億3000万ドル(約370億円)に達しています。さらにこの3タイトルはゲームのアカウントやデータを再販する市場が活発で、資金洗浄をするにはもってこいの場所となっていました。

そもそも、スマートフォンのゲームアプリでアカウントを作るためには、iOS向けであればApple IDが、Android向けであればGoogle PlayのゲーマーIDが必要になります。しかし、それぞれのIDは簡単な個人情報と条件で作成できてしまいます。また、Appleは最初に1ドルを請求して再び払い戻すという行程で、登録されたクレジットカードが使用可能かどうかを確認していますが、盗難が発覚していない番号はそのまま審査を通過してしまうため、ジェイルブレイク(脱獄)したAppleデバイスを利用すれば、大量のゲームアカウントとクレジットカード番号を扱うことも可能になってしまいます。Kromtechは、アカウントの自動作成がいくらでも可能だったのは、Apple IDやメールプロバイダの安全対策が十分でなかったためだと論じています。

by MIKI Yoshihito

一方、「クラッシュ・オブ・クラン」「クラッシュ・ロワイヤル」のパブリッシャーであるSupercellは「ゲーム内リソースの販売」「ゲームアカウントの売買と共有」は禁止されていると喚起を改めて行っています。しかし、Kromtechは「再販サイトはGoogleで検索すればすぐ出てくるのだから、一連の規約違反サイトの監視と撤去に利益をつぎ込むべきですし、不審な支払いを受けたアカウントIDは単純に排除するべきでしょう。また、大量にゲーム内リソースが移動している場合も警戒する必要があります」と、運営しているパブリッシャーの意識が甘いとも指摘しています。

・関連記事
Appleが収集するユーザーの個人情報はどんなものなのか?開示請求してみたらこうなった、という記録 - GIGAZINE

詐欺がばれて逃げ出した女性がなんとも間抜けな捕まり方をする一部始終が話題に - GIGAZINE

BGPハイジャックの常習犯が「インターネットの世界からBANされた」と報告される - GIGAZINE

CoinhiveのURL短縮機能が悪用されハッカーサイト経由で仮想通貨マイニングに利用されるケースが発覚 - GIGAZINE

「キャンペーンに応募して新車をゲットしよう!」に応募すると思わぬ詐欺に巻き込まれる可能性もある理由 - GIGAZINE

ディズニーがゲームアプリ42タイトルで子どもたちの個人情報を秘密裏に集めて広告主と共有 - GIGAZINE

in モバイル,   ゲーム,   セキュリティ, Posted by log1i_yk