web-dev-qa-db-ja.com

Steamはなぜセキュリティにこだわっているのですか?

Steam アプリケーションが非常に安全にしようとする理由は何ですか?ほとんどの銀行よりも多くのセキュリティ対策(2要素認証、すべての取引を確認する電子メールなど)を実行する必要があるようです。

これは、Steamソフトウェアに固有のセキュリティリスクが関連付けられているためなのか、それとも、アカウントがハッキングされたと不平を言うのを避けたいだけなのですか?

Steamが他の銀行よりも安全であろうとする理由はありますか?

113
Jojodmo

Steamには約1億人のユーザーがいます( ほぼ2年前に7,500万人がいたというランダムなリンク )。彼らが年間平均10ドルを費やしている場合、私たちは年間10億ドルを話していることになります。これは控えめな見積もりです( 2010年に10億の収益があったと言っているランダムなリンク )。 それは小さな銀行が扱う同じ種類のお金です

その後、ほぼ確実に多数のローテク攻撃者がいます。 Steamは、合法性をまだ十分に理解していない多くの子供たちによって使用されているため、少なくとも一部の子供たちは、においがかぐ他の子供のアカウントを盗もうとします。明確にするために:1億の「一部」は「ロット」です。これらの攻撃者は同じ町に住んでいることが多く、他の子供がパスワードを入力するのを見たこともあり、IPの範囲とパスワードに基づいた従来の安全性を破っています。盗まれたアカウントは、カスタマーサポートコストを発生させます。盗まれたアカウントの広範な報告は信用を破壊する悪い報道を生み出します。デジタル市場にとって、信頼はお金です。

Valveは、多数のパートナーとも連携しています。これらのパートナーは悪意を持って行動し、請求プロセスを破壊または悪用しようとする可能性があり、悪用しない限り、Steamの評判を直接損なうため、Valveに深刻なお金を失います検出され、迅速に処理されます。

編集:

[...]仮想Steamの商品を盗むことが熟練したハッカーにとって本当のビジネスになっているという十分な金額がシステム内を動き回ります[...]毎月約77,000のアカウントがハイジャックされ、略奪されています。 -2015年12月9日 http://store.steampowered.com/news/19618/

したがって、多数のローテク攻撃者に加えて、多数のハイテク攻撃者もいます。

201
Peter

私はそれが非常に理解できると思います、特に彼らがユーザーにセキュリティ対策を強制する必要性を感じる理由は特に:

  • Steamアカウントは非常に貴重な資産になる可能性があります。多くのSteamライブラリは、数千とまではいかなくても、数百と簡単に交換できます。
  • 多くの場合、人々は自分のSteamアカウントを他のアカウント(メールや銀行口座など)ほど慎重に扱いません
  • 盗まれたら、正当な所有者を特定することは非常に困難です。金融機関とは異なり、IDを支店に持っていくようにユーザーに要求することはできません。
  • 多くの子供たちがSteamを使用しています。子供に属する情報はより高いレベルの保護に値する
  • Steamを使用している子供は、必ずしもセキュリティを意識しているとは限りません。パスワードなどを共有する場合があります。
  • アカウントが盗まれると、Steamディストリビューションモデルに非常に悪い印象を与えます。多くの人々は、たとえユーザーが完全に非難されたとしても、Steamと彼らが擁護しようとしている配布モデルを非難します。
  • 盗まれたSteamアカウントの巨大な市場があり、フィッシングなどの洗練されていない方法を使用して盗むのはかなり簡単です
116
thexacre

本当の理由は詐欺です。典型的な詐欺は次のようになります。

  1. 詐欺師は、Steamストアからゲームを購入するか、盗んだクレジットカードまたはアカウントを使用して Steam Market からアイテムを購入します。多くのCS:GO、TF2、およびDota 2のアイテムは100ドルまたは1000ドルの価値さえあるので、これらは私たちが話しているペニー詐欺ではありません。
  2. 次に、詐欺師は tf2outpost.com または steamtrades.com のようなサイトを使用して、市場価値をわずかに下回る疑いを持たないユーザーにアイテムを販売します。盗まれたアカウントがそのサイトで高い評価を得ている場合、疑いを持たないユーザーにPaypalで支払うように説得するのは簡単です。
  3. 数日または数週間後、クレジットカード/アカウントの実際の所有者は、クレデンシャルが盗まれたことに気付き、チャージバックを発行します。

さて、さもなければバルブに行ったはずのお金は、代わりに詐欺師のポケットに行きます。これはまた、Steamマーケットで購入したアイテムが7日間(ゲームの場合は30日間)取引できない理由でもあります。

Valveは個人所有であり、財務諸表を公に公開していませんが、同様に、SonyやMicrosoftのような大企業は、この種のクレジットカード詐欺で年間数百万ドルを失っています。

他の回答で言及されていないもう1つのことは、企業としてのValveの構造と、スケーラブルなソリューションに対する彼らの哲学の影響です。

ほとんどのValveの従業員(全員ではないにしても)は、各従業員が選択したプロジェクトに取り組んでいるValveの文化に雇われています。この文化を考えると理解できる理由により、Valveのほとんどの従業員はカスタマーサービス/苦情処理に関心を持っています。

さらに、Valveはコミュニティ主導型/ゲーム型ソリューションを、機能をスケーラブルにする主要な方法と見なしています。参照:Steamタグ、レビューなど.

これらの理由と、TF2およびCS:GOアイテムの実際の値が大きいためにSteamが大量のアカウント盗難に見舞われたため、Valveは当然、ユーザー主導の方法として2要素認証に注目しました。彼らが処理しなければならなかった気が遠くなるようなアカウント盗難事件。彼らは、コミュニティバッジの新しいレベルを作成し、2要素認証をアクティビティの1つとして追加することで、2要素認証のゲーム化された採用をさらに促進し、Steamマーケットプレイスに2要素認証ユーザーの期間限定割引を提供します。

要約すると、Steamがセキュリティに固執しているもう1つの理由は、ソフトウェアエンジニアを解放してより魅力的な作業を行えるようにすることです。


更新12/10/15:Valveが説明したとおり

Steamが始まってからアカウントの盗難が発生していますが、Steam Tradingの導入により、ユーザーからの最大の苦情として問題が20倍に増えました...

毎月約77,000のアカウントがハイジャックされ、略奪されています。これらは新規ユーザーや初心者ユーザーではありません。これらは、プロのCS:GOプレーヤー、reddit寄稿者、アイテムトレーダーなどです。

1か月あたり77,000のアカウントを復元すると、エンジニアが他のことに費やす時間は膨大になります。

21
puzzlepiece87

この時点で、何千ドルもの価値のあるゲームをアカウントに持っている人もいます。確かに、Steamアカウントは正確には流動的ではなく、簡単に現金に変換することはできません(ただし、身代金を支払うことはできると思います)が、潜在的な損失はまだあります。

これに加えて、多くの人がSteamアカウントにリンクされたゲームアカウントを持っているため、アカウントを制御すると、ゲーム内アカウントも制御できます。ここから、TF2の武器や帽子など、ゲーム内の多くのアイテムを吸い上げることができます。これらのアイテムは、実際の現金またはゲーム内のお金で市場で販売することができます。 。

もちろん、Steamウォレットなどの機能を備えた実際のお金を自分のアカウントで利用できる人もいます。収集できるクレジットカード情報については言うまでもありません。

問題に加えて、特に不正行為が禁止された場合(「ハッカー/私の兄弟/犬がそれをした!」)、人々は自分のアカウントがハッキングされたと不満を言うのが好きだという事実です。もちろん、Steamアカウントを乗っ取ろうとするハッカーもたくさんいます。たとえば、Amazonアカウントも同様に「危険」ですが、それを保護するセキュリティがほとんどないため、これが厳格なセキュリティの本当の理由だと思います。

また、銀行と対比するときは、2つの重要な点に注意してください。

  • Steamは顧客の問題への対処についてほとんど気にしません-彼らは法律で強制されない限り返品ポリシーを提供しません。銀行は、はるかに役立つ顧客サービスポリシーを持っている傾向があります。
  • 銀行は、確立された多くの法律や規制によって保護されています。あなたの銀行口座は政府によって保険をかけられています。銀行が必要とするSSN、住所、雇用主などの多くの情報があるので、彼らはあなたの身元を確認し、紛争(犯罪や詐欺の試み)を解決するのがはるかに簡単です。その間、Steamはこの種の政府からの保護を享受しておらず、犯罪を調査するために利用できるリソースも持っていません。あなたの銀行口座が盗まれた場合、FBIは簡単にそのすべてを覆い、犯罪者は逮捕され、何十年も刑務所に入れられるでしょう。あなたのSteamアカウントが盗まれた場合、警察はあなたが法廷に連れて行くことができる容疑者を作り出すでしょうか?
11
Superbest

他の回答が述べたように、Valveのセキュリティ対策の多くの理由は詐欺であり、アカウントには数百ドルまたは数千ドル相当のゲームと取引可能なアイテムがあり、支払い情報はアカウントにリンクされており、基本的にそのアカウントを使用して他の誰でもゲームを購入できますと取引可能なアイテム。

しかし、誰もが見落としているもう1つの理由は、SteamアカウントがSteamだけではなく、より多くのゲームにログインできるようにすることです。ゲーム開発者は、SteamのアカウントAPIを使用して、それらを認証システムとして使用できます。 CS:GOを開く方法のようなもので、Steamがログインしている限り、すでにログインしています。多くのロックを開くキーを持っている場合は、使用を許可されていないユーザーがキーを入手して使用するのが難しいことを確認する必要がありますそれ。

そして、11年間のSteamユーザーとして、あなたのアカウントを保護することが悪夢だった初期の頃を覚えています。追加の保護の前に、私は自分のアカウントをほぼ年に一度回復しなければなりませんでした。毎月の友達もいます。 Steamアカウントはトラフィックの多いターゲットです。結局、これはSteamユーザーだけでなく、Valveにも影響を与えます。これらの問題が原因でコストを修正して負担しただけで、多くのお金を失ったと思います。

だから、全体として、私は彼らのセキュリティ慣行が単一の理由の結果だとは思いません。

9
Bacon Brad

あなたは私とは異なるセキュリティの定義を持っています、

Steamはリモートでさえ安全ではありません。インストールされているすべてのアプリは、システム全体に完全にアクセスできます。ルートキットまたはキーロガーをインストールしているゲームはありません。あなたは彼らがあなたのシステムからどんなデータを読んでいて彼らのサーバーにアップロードしているのか全く分かりません。ゲームABCをインストールしたときに、ユーザーフォルダーとダウンロードフォルダーのコンテンツ全体をアップロードしたことがわかっている限り、Steamのパスワードを盗んでログインし、クレジットカード情報を販売しました。

Steamがセキュリティに真剣である場合、ChromeまたはWindows App StoreまたはMac App StoreまたはAndroidまたはiOSなどのようなサンドボックスを実装します彼らが配布するゲームはあなたのシステムにアクセスできません。

あなたが言及するセキュリティは、あなたのシステムにいない人々からのSteam自体へのログインに関係しています。どの対策も物事をより安全にするように見えますが、Steamにインストールされたゲームがその情報を盗む可能性があるため、実際にはかなり安全ではありません。特に、非常に多くのゲームを出荷しているためです。 Apple(iOSまたはMac Appストア)、Microsoft(Windows Appストア)では、サンドボックスにあるアプリのみがこの種のものを防止できます。AndroidおよびiOSはすべてのアプリをサンドボックスに強制的に配置します。Steamにはサンドボックスがありません

8
gman

他の回答が言及していないことの1つは、詐欺が銀行とSteamにどのように影響するかです。銀行口座が詐欺に遭った場合、彼らはお金を返します、それはそれについてです。彼らはおそらく顧客を失うかもしれません。

一方、この場合のベンダー(Steam)が頻繁に詐欺されたり、チャージバックが多すぎる場合は、クレジットカード会社がブラックリストに登録します。 Steamがクレジットカードを受け入れることができなくなった場合、会社として処理されます。

5
Shane

これが100%だと言っているわけではありませんが、セキュリティの重要性を示す良い指標になるはずです。数年前にその大規模なGmailハックでメインのメールアカウントが漏洩しました。 「ハッカー」が最初に試みたのは、私のSteamアカウントとNetflixアカウントです。また、これまでにサインアップした他のほぼすべてのゲームネットワークでログインに失敗しました。彼らがそのような優れたセキュリティを持っていなかった場合、誰かが簡単に私のアカウントに入り込み、何千ドルものゲームを勝ち取っていた可能性があります。私のゲームコレクターであるため、私の銀行は警告を発していなかったでしょう。彼らがその子犬をロックダウンし続けてうれしく思います。複数の形でID盗難の犠牲者となっていたので、今は第2要素認証を必要とするサイトだけに慣れています。

ps。今日に至るまで、インターネットで私のGmail資格情報を見つけることができます。ウェイクアップコールだったので、多くのサイトでパスワードを変更する必要がありました。

2
Tony