「犬」といえばこの監督

……それでは講義を始める。
前回スター・ウォーズを題材に、「フォース」で認証を突破できるかを考察した。
ジェダイには認証の突破のような細かい作業は向いてなかったようだ。一方で、R2-D2のハッキング能力の高さが光った。

>「架空世界 認証セキュリティセミナー」記事一覧

さて、2018年は戌年である。
さすがに犬が認証のカギになる作品は思いつかなかったのだが、犬を頻繁に作品に登場させる監督と言ったら、ちょっとアニメや映画に詳しい諸君ならすぐに思いつくだろう。
そう、押井守監督だ。
今回は押井作品の中から、ちょっと通好みの実写作品「アヴァロン」を題材に、VRゲームにおける認証を考察していきたいと思う。

「アーサーここに眠る いつの日か再び蘇えらん」

まずは基本データから紹介しよう。
2001年に日本で公開された実写映画で、ロケは全編ポーランド。出演者も全てがポーランド人という一風変わった作品だ。ポーランドでも2002年に公開された。
「マトリックス」の監督、ラリー・ウォシャウスキーや、「アバター」「タイタニック」などの監督、ジェームズ・キャメロンなどから肯定的な評価を受けている。

あらすじを紹介しよう。
近未来、「アヴァロン」というVRオンラインゲームが流行している世界。実在のものと同じ武器を用いて戦い、現実で使える紙幣を賞金として手に入れることができるのだが、ゲームから抜け出すことができなくなった「未帰還者」を出すこともあるため、非合法化されている。
アヴァロンの凄腕プレイヤー「アッシュ」はかつて「ウィザード」と呼ばれるパーティ(グループ)に参加してプレイしていたが、ある事を契機に現在はソロ(単独)でプレイしている。愛犬と暮らす自室とアヴァロンが彼女の全てだった。
そんな時、アッシュはアヴァロン内で挑発を受ける。それはこのアヴァロンというゲームの裏側を知るクエストの始まりだった……。

特筆すべきなのはその独特の用語だろう。「ウィザード」「ビショップ」「マーフィー」などの用語は、ゲーム「ウィザードリィ」から取られている。
銃器を使用する現代戦であるところや、魔法を使わないところを除けば、アヴァロンのゲームの大まかなルールもウィザードリィに近い。
押井監督は大のウィザードリィファンとしても知られており、「機動警察パトレイバー2 the MOVIE」の自衛隊バッジシステムのハッキングシーンでもウィザードリィの用語が出てくるほどだ。ウィザードリィ好きの諸君にはどちらもぜひ一見をお勧めしたい作品だ。

VRゲームでの個人認証はどうすべきか?

さて、賞金のかかったVRゲームであればどうしても個人認証は避けられない。作中ではどう描写されているのだろうか?
アッシュは受付に「Avalon」とロゴが入ったアヴァロン専用IDカードを提示し、受付の女性はスロットに読み込ませる事で個人認証を行っていた。つまり、「所有物認証」だ。このIDカードは、配給制の食堂のような場所で、料理と呼ぶのが憚られるような食べ物を受け取るシーンでも使用されていた。おそらくアヴァロン会員専用の食堂なのだろう。
アヴァロンではプレイヤーに個人認証(管理)のために配布しているのだろう。卑近な例でいえば、ネットカフェの会員カードのようなものだろうか。

ゲームマスターや管理人もおり、ログインしているプレイヤーが限られた存在で、しかも非合法のアヴァロンである。プレイヤーが納得してさえいればこれでもいいかもしれない。
しかし、オンラインゲームで最も怖いのは「なりすまし」だ。アカウントの乗っ取りは現在のオンラインゲームでも日常的に発生している。しかも、賞金のかかったゲームとなるとターゲットにされる可能性が高く、できるだけ認証を強化しておきたい。
現在のオンラインゲームでも、店舗型ならIDカードのような「所有物認証」、自宅端末からプレイするのであればIDとパスワードによる「知識認証」は最低限必要だ。
さらに、「ワンタイムパスワード(OTP)」の導入を推奨しているところが多い。スマートフォンにインストールするアプリケーション式や、専用の表示デバイス(トークン)を使う場合もある。
ワンタイムパスワードの仕組みについては前回の「スター・ウォーズ」の講義にてイラストで説明しているので、興味のある諸君は見直しておいてくれたまえ。

余談:今後は賞金付きのオンラインゲームが増えるか?

e-Sports」という単語を最近見聞きする諸君も多いだろう。要するに、ゲームもスポーツのように扱ってプロリーグを作ろうという潮流だ。
当初は「ストリートファイター」シリーズや「鉄拳」シリーズのような格闘ゲーム、あるいは「League of Legend」のようなMOBA(マルチオンラインプレイバトルアリーナ)が中心だったが、現在ではあらゆるゲームジャンルに広がりつつある。中には「ぷよぷよ」のように古い対戦パズルゲームにも賞金が懸けられることがあるくらいである。
その時には上述のような各種認証に加えて、パスポート、免許証、マイナンバーカードなど、国家的に認められた証明書による本人確認も徹底されるだろう。これは個人のアカウント管理だけではなく、お金の流れを管理するという側面もある
近い将来には、アヴァロンのようなVRシューター(※)も題材になるのだろうか……? 技術的にはまだまだ未成熟だが、期待はできるのではないかと思う。

※VRシューター:VRを利用したシューティングゲーム

メールチェック時の長いパスワードは「パスフレーズ」?

「アヴァロン」ではもう一つ注目したい認証のシーンが存在する。
アッシュが自宅の端末でメールをチェックする時に、相当長いパスワードを入力しているのだ。しかもスラスラと入力しているところをみると慣れているのだろう。
こうした長いパスワードを「パスフレーズ」と言って区別する向きもある。
普通のパスワードは8〜16文字程度の短いもので、大抵は無意味な文字列を使用するのだが、これを50〜100文字程度にするのだ。
もちろん、無意味な文字列であれば、そんなに長いものを簡単には覚えられない。しかし、そこには工夫がある。
例えば詩の一節、あるいは好きな小説のフレーズや誰かのセリフなどをまるまるパスワードとするのだ。こうすることにより簡単に覚えられ、かつそれなりに強度も高くなるというメリットがある。
ただし、どの一節を使っているかがバレると一発でアウトだ。だから、大文字と小文字を適当に混ぜ込むなり、「leet」や「1337」と呼ばれる表現方法(※)を使ったりして、より強度を高めると良いだろう。

……というのは一昔前の話で、今ではこのような対策をしてもサイバー犯罪者たちの間に出回っているパスワード辞書には、有名なフレーズやせりふ、そしてそのleet表現対応版は出回っているかもしれないので、この方法はお勧めできない。
もし、パスフレーズを使えるような長い文字列を受け入れる環境であれば、国語辞典を使って言葉をランダムに3種類以上抜き出して、組み合わせるのが良いだろう。

個人用パスワードでは「PassClip」のようなパスワードマネージャーを使ったり、独自ルールで作ったパスワードを使ったりするに越したことはないが、長いパスワード文字列を受け付けるシステムで、仕事や親しい間柄での共通パスワードが必要な場面などで一度試してみてほしい。

※leet表現:例えばforを4、toを2と読みに準じて略したり、Eを3、Lを1と似た形の数字に置き換えて表記する方法

次回はゲームと現実が溶け合う認証

今回は「アヴァロン」を題材に、VRオンラインゲームにおける認証を考察してみた。いかがだっただろうか。
VRオンラインゲームを題材とした作品といえば「ソードアート・オンライン」を真っ先に思いつく諸君も多いと思う。あちらはかなり最近の作品であるし、アヴァロンの事例と比較してみるのもよいかもしれない。

さて、次回だが「ゲームと現実が溶け合う認証」という、ちょっと変わった題材でお送りする予定だ。溶け合うとはどういうことだろうか。楽しみに待っていてくれたまえ。
それでは本日の講義はここまで!

【著者プロフィール】

朽木 海(フリーライター、編集者)
主にITとゲームのあれこれを請け負うライター。前職は某ゲーム会社でいろんなゲームを作ったり、公式Twitter担当をしたりしていました。現在勉強中のテーマはブロックチェーンとマストドン。みなさんモンスターハンターワールドプレイされていますか? 私はまだ積みゲーが多くて……。

【ツイッターで、リツイート&いいね!&フォローをお願いします!】


>前回記事:架空世界 認証セキュリティセミナー 第13回「フォースで認証を突破できるか?【スター・ウォーズ】」
>「架空世界 認証セキュリティセミナー」記事一覧
>認証の基礎知識について:「認証」の基礎知識(1):日常にあふれる「認証」