セカンドライフでお金を盗むハッキング
「セカンドライフ」という3Dの仮想世界をご存知だろうか。見かけは普通の町並みが3Dで広がっているジオラマのようなもの。ユーザーはアバターと呼ばれる人物を自分の分身として参加させるのだ。ネットゲームやと似ているが、ネットゲームのように特定のルールがあるわけではない。実社会のように、商品、土地、建物の売買もある。しかもこの仮想世界の貨幣「リンデンドル」は、実際のアメリカドルと換金ができるのだ。つまり実社会で商売をするのと、同じ効果がある。アメリカのリンデンラボ社が運営しており、日本では2003年に正式運用を開始している。企業としてセカンドライフに参加している会社も多い。
この仮想世界の中で、アップル社のQuickTimeの脆弱性を利用したアバターの乗っ取りができることが発見された。
Second Lifeでリンデンドルが盗難の恐れ--ハッカーが指摘 ― ITpro
http://itpro.nikkeibp.co.jp/article/MAG/20071204/288631/
記事によれば、仮想世界内のオブジェクトには、QuickTimeムービーが貼り付けることができ、ユーザーが近くを通ると自動再生される。このムービーを再生する際にQuickTime Playerが起動する。悪意のあるコードが含まれるムービーを貼り付けておけば、QuickTimeの脆弱性を利用して、アバターを乗っ取れるというのだ。そして、他人のアバターを操作し、お金を自分に対して払わせることができる。犠牲者はムービーを見ただけで、呪われる……じゃなくて、コントロールされてしまうのだ。ある意味、実社会よりも怖い。
このハックを発見した2名の研究者が詳細を公開している。実際にその実験をした動画もある。
Second Life Exploit
http://www.youtube.com/watch?v=RaCo4USXd5Y
犠牲者のアバターが一瞬フリーズし、攻撃者が「I got hacked(ハックしたぞ)」と叫ぶ。で、12リンデンドルをさくっと盗んでいく。まだ実際の被害は起きていないのが救いだが、リンデンラボ社からは公式ブログでユーザーに注意を促している。予防策としては、リンデンドルをさっさと米ドルに換金して、アカウント内に多額のリンデンドルを持たない、ということが肝要だとか。海外旅行では、なるべく現金を持たないように言われるが、それと同じことなんだろう。
このQuickTimeの脆弱性そのものは、11月23日にUS-CERTによってアナウンスされているが、まだアップル社からは修正パッチなどのリリースはないという。
マカフィー、シマンテックなどのいくつかのセキュリティベンダーは、セカンドライフやオンラインゲームのセキュリティが脅かされる可能性があることを指摘している。
オンラインゲームが対象になる可能性も--マカフィーの2008年脅威トップ10予想 ― CNET Japan
http://japan.cnet.com/news/sec/story/0,2000056024,20362353,00.htm
「ボットは減少、攻撃ツールを使った誘導・段階型の脅威が急増」−シマンテック調査 ― Enterprise Watch
http://enterprise.watch.impress.co.jp/cda/topic/2007/09/27/11244.html
このさい警告するだけではなくて、セキュリティベンダーもセカンドライフに参加して、セキュリティパッチやセカンドライフ専用のセキュリティソフトを売ったらいいのではないだろうか? ひいては、さまざまネットゲーム専用のセキュリティソフトなど、そういう特殊な機能を持ったモジュールを組み込んで使えるようになっていけば、ちょっとしたエポックメイキング(あるいは色もの?)なセキュリティソフトになるかも知れない。
ともあれ、ファーストライフでいっぱいいっぱいのワタクシは、当分セカンドライフには手を付けられそうもないわけですが……。
