ゲーム開発以前の情報セキュリティ意識

ゲーム開発以前の 情報セキュリティ意識 ※ 2024年2月 更新

自己紹介 ● 名前：ふるや ● 所属：大阪にある ゲーム・AR・VR関連の会社 ● 職種：エンジニア （ゲーム業界に約10年います） ● 趣味：ゲーム（する・作る） ボードゲーム🎲

まず初めに 当スライドに記載している内容は 個人的な見解を含みます。 当スライドによって生じた損害について、 当方では一切責任を負いませんので 予めご了承ください。

アジェンダ ● 情報セキュリティとは？ ● 安全とは？ ● 個人でできること ● 諸悪の根源「パスワード」の近況 ● まとめ

情報セキュリティとは？

情報セキュリティとは？ Security = 「安全」の意 「安全に情報を利用する」ぐらいの認識で大丈夫です。 詳しく知りたい方へ 総務省が分かりやすく説明してくれています（本題ではないので割愛します） https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/intro/security/index.html

• https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/intro/security/index.html

安全とは？

安全とは？ 分かりにくいので、 逆に安全ではない具体的な事例を挙げます。

2011年4月に発生した事案 原因：サーバーの脆弱性 結果：不正アクセスがあった 個人情報の漏洩が確認されている😫 サービスはしばらく全面停止に PlayStation Network不正アクセスに関する記者会見詳報 - 4Gamer https://www.4gamer.net/games/036/G003636/20110501006/

• https://www.4gamer.net/games/036/G003636/20110501006/

2020年11月に発生した事案 原因：VPN装置が旧型 結果：ネットワーク経由で日本法人の機器に ランサムウェア（＊）が仕込まれた ＊ファイルを暗号化して利用できなくし、 身代金を要求してくる手法 個人情報の漏洩が確認されている😫 プレスリリース「不正アクセスに関する調査結果のご報告【第4報】」 https://www.capcom.co.jp/ir/news/html/210413.html

• https://www.capcom.co.jp/ir/news/html/210413.html

2023年11月に発覚した事案 原因：Googleドライブの設定ミス 結果：約94万人分の個人情報が 「リンクを知っていれば誰でも閲覧できる状態」に😫 コーポレートニュース「個人情報漏えいの可能性に関するお知らせ」 https://www.a-tm.co.jp/news/43858/

• https://www.a-tm.co.jp/news/43858/

その他の事案 個人情報漏洩事件・被害事例一覧 - サイバーセキュリティ .com https://cybersecurity-jp.com/leakage-of-personal-information → 個人情報 = 漏洩するもの な認識のほうが気持ちはラク → 漏洩しないように かつ 漏洩したとしても問題が発生しないように 安全 を目指したい！ そのために、個人的に「最低限これはやるべき」と思うものを挙げていきます ⇒

• https://cybersecurity-jp.com/leakage-of-personal-information

個人でできること

1. 「http://」のURLにアクセスしない (1) ● ● http:// ： 通信が暗号化されていない → 内容が盗み見られる可能性がある https:// ： 通信が暗号化されている → リスクは減るがサーバー管理者に悪意がある場合は意味がない → 少なくとも http:// にはアクセスしない 参考：「httpとhttpsの違いとは? 知っておきたいウェブセキュリティの常識と今後」 https://japan.norton.com/what-is-https-8564

• https://japan.norton.com/what-is-https-8564

1. 「http://」のURLにアクセスしない (2) ● たまに身に覚えないメールやショートメッセージが届きませんか？ 本文の「http://」のURLの場合は絶対にアクセスしないように👿 ○ ● 有名サイトと似たようなURLで「http://」の詐欺サイトが存在する 例： http://yahooo.co.jp メール本文のリンクにも注意を！ ○ メール本文はHTMLタグを埋め込み可能なので、見た目は安全そうなサイトでも マウスオーバーすると「全然違うURLになってる！」ことは多々あります。 アクセスする前にリンク先をコピーする等、確認を推奨します。 （KPI取得の為に、URLを変えている場合がある）

2. 他と同じ・安易なパスワードにしない ● ● 生年月日を入れない ランダムな文字にする ○ パスワードはメモ帳にまとめておき、 使用の度にコピペする 「めんどくささ が あなたと周りを守ります」

3. 外部サイトでパスワード生成しない ● ● 生成されたと思っていたパスワードが、 あらかじめ用意された10万個からの抽出だったとしたら ・・・愕然としませんか？ それらのパスワードがリスト型攻撃などに使われていたとしたら...😨 私は他の人に指摘され愕然として、簡単なやつを自作・利用しています。 https://pwgen.play-overflew.com/ ↑毎回ちゃんと生成しているのでどうぞご自由に使ってください😊 https://github.com/hfuruya/password-generator

• https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/threat-solution/access.html
• https://pwgen.play-overflew.com/
• https://github.com/hfuruya/password-generator

4. 外部の変換ツールは使用しない (1) 画像のサイズ変更、PDF作成、等の便利ツールについて サーバーにアップロードして実行する、その時点で情報は漏洩しています。 利用時は安全だったとしても、 そのサイトが攻撃され情報が漏洩する恐れは大いにあります。 悪用される可能性はあるので、安易にアップロードしない方が良。 画像の調整は社内の誰かや知り合いに依頼するか Photoshop や GIMP を利用するなどしましょう🤗

4. 外部の変換ツールは使用しない (2) URL短縮サービスについて とっても便利なのですが、反面とっっても恐ろしいサービスです。 「リンクを知っている人は全員閲覧可能」なURLを短縮したとします。 短縮前のURLはサーバーに保存されているので、 そのサーバーの管理者が悪用したりサーバーが攻撃される等すると 我々のデータは漏れます💥 → 使用しなくなった短縮URLは削除しましょう （削除してもサーバーには残る可能性はありますが😥）

5. リンクを知っている人は全員閲覧可な URLについて とっっっても便利なのですが、 ● ● 適当に入力してアクセスできることもある ランダム文字列を組み合わせアクセスされる可能性もあり 以上の理由で 情報漏洩のリスクが高く 、安全とは言えません。 関係者のみに公開する、あるいは利用する場合は必要ではなくなったら非公開にする 等、対応したほうが安全です👿 例：限定公開のYouTube、Googleドライブや OneDrive の リンク先を知っている人のみ閲覧可能なファイル等

6. Googleのセキュリティを確認する 以下より、Googleアカウントにログインしているデバイス一覧を確認できます👀 https://myaccount.google.com/device-activity → 知らないデバイスがある場合はログアウトしましょう ※定期的な確認を推奨します

• https://myaccount.google.com/device-activity

7. APIトークンは定期的に更新する 例えば、Chatworkの場合 APIトークンが分かれば以下が可能です。 ● ● ● 所属している窓の情報（メッセージやタスク等）は全て閲覧可能 所属している窓の削除、作成 コンタクト一覧の参照 等々。 APIトークンの漏洩 = 情報漏洩 → 一ヶ月〜半年に一回は更新すべきと個人的には思います😠 参考：Chatwork API でできること https://developer.chatwork.com/ja/endpoint_rooms.html

• https://developer.chatwork.com/ja/endpoint_rooms.html

8. 多要素認証（MFA）を使う ● 多要素認証とは？ ○ ○ ● パスワード + ワンタイムパスワード / 認証コード ■ 認証コードを発行する端末を登録する パスワードが漏洩し、使用されても↑端末がない ⇒ アカウントにはアクセスできないのでセーフ！😅 Chatwork や Googleアカウント は多要素認証にする ○ ○ Chatwork : https://www.chatwork.com/service/packages/chatwork/subpackages/mfa/index.php Google： https://myaccount.google.com/signinoptions/two-step-verification/enroll-welcome ■ ログインがあった場合「不審なアクティビティ」のメールが届くので、メールは常に見れる ようにしておきましょう 「めんどくささ が あなたと周りを守ります」

• https://www.chatwork.com/service/packages/chatwork/subpackages/mfa/index.php
• https://myaccount.google.com/signinoptions/two-step-verification/enroll-welcome

9. ブラウザの拡張機能を無闇に入れない ● 拡張機能とは？ ○ ● ● 閲覧中のページ全体のスクショを撮影したり、同サイトの複数のアカウントのパスワードを管理した り、Chatwork の絵文字を増やしたり等、便利なものが色々あります 追加時に求められる 権限は、よく確認してからインストールする ○ 「Googleドライブのファイル読み書き」は恐い ○ インストール数やレビュー数で判断 ⇒ どこからが安全なのか？は個々の判断次第 以下より、インストール済の拡張機能を確認できます ○ Chrome： https://chrome.google.com/webstore/user/purchases?hl=ja ○ Firefox： about:addons 参考：「Google Chrome」拡張機能をより安全に https://forest.watch.impress.co.jp/docs/serial/yajiuma/1158878.html

• https://chrome.google.com/webstore/user/purchases?hl=ja
• https://forest.watch.impress.co.jp/docs/serial/yajiuma/1158878.html

10. 国のセキュリティ関連ニュースを読む ご興味があれば ● 情報処理推進機構（IPA） ○ 経済産業省所管の独立行政法人 ○ セキュリティ対策情報 ■ 以下よりメールで購読できます https://www.ipa.go.jp/about/mail/index.html ■ X （旧Twitter）アカウント ● https://x.com/ipajp

• https://www.ipa.go.jp/security/
• https://www.ipa.go.jp/about/mail/index.html
• https://x.com/ipajp

諸悪の根源 「パスワード」の近況

諸悪の根源「パスワード」の近況 💡Appleが 『パスワード不要。 Face ID や Touch ID だけで ウェブサービスにログインできる「 パスキー」 を開発。 Google や Microsoft と連携し、標準化を目指す模様』 ⇒ https://www.apple.com/jp/newsroom/2022/05/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard/ 将来的に、パスワードはなくなっていくものと思われます（やったぜ 🤗）

• https://www.apple.com/jp/newsroom/2022/05/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard/

まとめ

まとめ ● 変換や圧縮を代替する便利なサービスは多数ありますが、 利用する前に一度立ち止まって考えてみてください ○ 外部サービスへの アップロード = 情報漏洩 です ○ 個人で解決できることは知り合い等に相談しましょう ● パスワードが不要になるまでは、 ランダム文字列のパスワードや多要素認証（MFA）を使いましょう 「めんどくささ が あなたと周りを守ります」（三回目）

最後までご覧いただき ありがとうございました！