根據國內「遊戲基地」(2006)所做的研究調查發現,有 77%
的遊戲參與者曾有遊戲帳號或虛擬資產被竊取的經驗,其中有 41%的參與者被竊取虛擬資產次數在 3 次以上,而被竊取的遊戲 參與者中,有 15%的參與者損失金額在新台幣 1 萬元以上。賽門 鐵克公司公布 2007 年 1 至 6 月網路安全威脅研究報告指出
(Symantec, 2007),線上遊戲及其虛擬資產已成為網路攻擊者的 主要標的物,並且成為惡意程式碼主要的攻擊目標,攻擊的目的 即為取得有價值的虛擬資產。賽門鐵克進一步分析前 50 大惡意程 式碼排名,有 5%的惡意程式碼目標為竊取線上遊戲的帳號及通行 碼,其中又以木馬程式對線上遊戲安全的威脅最大。
本論文作者參酌 Yan 與 Choi(2002)針對線上遊戲安全威脅 的分類及觀察國內線上遊戲現況,列舉分析現行線上遊戲所遭遇 的 17 種安全問題(Chen et al., 2005),包括以共謀的方式進行詐 騙、以團隊之名義進行詐騙、濫用遊戲規則進行詐騙、以虛擬資 產為標的物的詐騙、攻擊遊戲參與者的電腦或遊戲業者的伺服主 機、針對遊戲本身的缺失進行詐騙、針對遊戲參與者身分鑑別機 制上的缺失進行攻擊、內部工作人員的詐騙、以詐騙的方式騙取 任何關於遊戲上的物品、針對遊戲設計流程上的漏洞或缺失進行 詐騙、對遊戲軟體本身進行修改、交易或交換虛擬資產時的詐騙、
利用竊取被害人的身分進行詐騙、詐騙線上遊戲業者、共用帳號 通行碼的詐騙、利用網路竊聽方式取得遊戲參與者隱私資訊、及
利用假的遊戲官方網站進行詐騙等安全問題。以下將針對以共謀 的方式進行詐騙等主要系統與營運面安全問題進行討論,詳述如 下文。
以共謀的方式進行詐騙(fraud by collusion)係指在線上遊戲 中,由 1 人操控多部電腦或操控多個虛擬人物,或由 2 人以上事 前共謀合議,以操控電腦或虛擬人物等方式對遊戲內的其他參與 者以詐術獲取不正當的利益,並造成不公平的遊戲結果。以臺北 市政府警察局於 2009 年 3 月 26 日破獲之線上麻將詐賭案為例(陳 金章,2009),此類型遊戲須先購買遊戲點數(以 1 元新台幣購買 1 元點數,點數亦可轉換成現金),遊戲參與者登入遊戲後,選定 其中一虛擬麻將桌,湊足 4 人即可開始遊戲。然而有參與者破解 遊戲公司的保護機制,如鄰近電腦 IP 位址不得同桌之設定,利用 登入遠端代理伺服器(proxy server)的方式破解 IP 位址的限制,
並利用人頭會員虛設帳戶,以三方詐騙一方的方式詐賭,詐賭金 額估計超過新台幣 1 億元。
以團隊之名義進行詐騙(fraud by alliance)係指部分線上遊 戲設計允許參與者自行組隊或成立聯盟,在團隊中的成員彼此能 夠分享遊戲內的虛擬資產或相關遊戲資源,而透過團隊之名義所 為之詐術以獲取不正當的利益。以臺北市政府警察局於 2002 年 3 月 11 日破獲之神軍團案件為例(汪文豪,2002),線上遊戲「天 堂」中的 3 名參與者以「神軍團招募成員」為名義,宣稱只要加 入團隊的成員就可以免費使用「神軍團」內的虛擬裝備與貨幣,
惟加入的成員必須先捐出部分的個人虛擬資產,才有權利共享團 隊內的虛擬資產。待新成員加入團隊並捐出個人虛擬資產後,卻 遭團隊屏除在外。另也發生多起遊戲參與者將團隊中共用的虛擬 資產占為己有,或未經團隊成員同意私自將共用的虛擬資產賣出 得利之情事。
濫用遊戲規則進行詐騙(fraud by abusing policy)或針對遊戲
本身的缺失進行詐騙(fraud by exploiting bugs or design flaws)係 指未遵照遊戲業者所訂定的遊戲規則、或利用遊戲系統的漏洞所 為之詐術,致使造成不公平的遊戲結果。舉例來說,線上遊戲的 後端伺服主機會記錄遊戲參與者的遊戲結果、屬性值、及其累積 的分數,在遊戲過程中,遊戲參與者為了要規避後端伺服主機記 錄比賽的結果,因此在主機記錄前擅自將連線的電腦關閉或拔除 網路線,造成該次結果不列入計算,並仍維持先前累積的分數,
造成不公平的比賽結果。
交易或交換虛擬資產時的詐騙(fraud by trade or exchange)
或以虛擬資產為標的物的詐騙(cheating related to virtual property)
等方式係指藉由交易或交換線上遊戲虛擬資產時,所為之詐騙行 為,目的為取得被害人有價的虛擬資產。詐騙者會透過虛擬資產 交易平台、BBS、拍賣網站或遊戲內之交易對話視窗等,散佈錯 誤的交易資訊,致使被害人將貨款交付予詐騙者,而使被害人蒙 受財產及精神上的損失。甚而有詐騙者為取得他人的虛擬資產,
利用各種可能的手段引誘或強迫其他的參與者提交虛擬資產。例 如參與者以社交工程的方法,在遊戲中以交談的方式佯裝是被害 人的親友,被害參與者一時不查,即可能將虛擬資產交付予他人。
攻擊遊戲參與者的電腦或遊戲業者的伺服主機,進而竊取參 與者的身分鑑別資訊及其虛擬資產,或干擾遊戲業者伺服主機的 運作,以獲取不公平的利益。惡意第三方多數利用特洛依木馬程 式(Trojan horse)、窮舉式攻擊法(brute force attack)、中間人攻 擊(man-in-the-middle attack)、重送攻擊(replay attack)等竊取 遊戲參與者的身分鑑別資訊,或是利用攻擊方式。取得被害人之 身分鑑別資訊後,再利用社交工程法(social engineering)假冒被 害人之身分,進而騙取其他被害人有價的虛擬資產或鑑別資訊。
攻擊者甚而利用阻斷服務攻擊(denial-of-service attack)等方式干 擾遊戲業者伺服主機的運作,致使遊戲業者無法正常提供服務,
讓業者蒙受商譽與營利的損失。
由於上述線上遊戲系統與營運面的安全問題,影響了線上遊 戲產業的正面發展。Mulligan 及 Patrovsky(2003)認為線上遊戲 產品經營的成敗主要因素,在於遊戲參與者處於何種待遇中。遊 戲參與者的質與量亦主導著線上遊戲的發展,作弊或安全性不佳 的遊戲會破壞參與者對遊戲產品的信心與興致,造成遊戲的公平 性遭受質疑,讓遊戲的生命週期快速縮短。假若線上遊戲的安全 保護議題若未能有效解決,恐產生以下幾種影響(Chen et al., 2004),包括破壞線上遊戲產業的發展、增長犯罪行為,如竊盜、
詐欺、偽造文書、故意破壞或威脅等行為等、對遊戲參與者造成 不公平競爭並對產品失去信心、利用外掛程式在其他的遊戲參與 者身上獲取非法的利益、危害受害者財務、精神福利或社會關係、
增加遊戲業者的負擔和資源浪費,例如:網路頻寬、伺服器處理,
和管理費用、影響遊戲伺服主機的證據有效性,例如線上遊戲犯 罪進入司法調查時,相關虛擬資產成為數位證據的一部分。