かんたんログインの話が出てたので先にそっちを

すでに判明しているところを書いておきます。
UAをiphoneに偽装しログインした後、UAを携帯電話に変えても
ゲーム内のトップページや、一部のページは表示可能です。
ちゃんと携帯向けに整形されたXHTMLになります。
ただ、GETやPOSTでの操作を伴うページはログイン画面に戻されます。
スマートフォンはクッキーとセッションID、携帯は識別番号とセッションIDで管理しているようです。
ここで僕が携帯電話を持っていたら識別番号をPCから送ってやるテストができ
もしかしたらとんでもない結果が待っているかもしれないのですが、持っていないんです。
このテストに友人の協力を頼むのはやめておきたいので、どうしようもないです。

もう一つ、重要なことがあります。
ゲーム内には当然掲示板があるのですが、
<とか>とか、普通に入れれてしまいます…。
ただ、禁止ワードとして”http”や".jp"が判別されていて投稿できない仕様です。
それでもJavaScriptは余裕で埋め込めてしまいます。
スマートフォン相手にはかなりまずいかもしれません。
多数の携帯電話ユーザーには無効ですが。

(URL数で怒られたのでhttpがhtpになってます)
もう一つ、掲示板の制限として「href="hogehoge"」はそこだけ削除されるという仕様であり、
かつ、httpでもそのゲームサイトのドメインの場合は通す仕様のようです。
この実装の順番が悪いので
ゲームサイトのドメインがhoge.jpだとすると

hthref="hoge.jp"tp://www.google.co.href="hoge.jp"jp/

とすることで、
htp://www.google.co.jp/と投稿できてしまいます。
ただし、最後に「htp://文字列」にはリンクを張るという処理が入っており実際には

<a href="htp://www.google.co.jp/">htp://www.google.co.jp/</a>

こういう投稿内容になってしまいます。
こっそり画像を埋め込もうにも

<img src="<a href="http://www.google.co.jp/">http://www.google.co.jp/</a>">

こういう投稿になってしまいます。

ただしただし、そこにもバグがありまして
「http://文字列」でリンクを張る処理ですが、

http://AA http://BB

とすると(httpの禁止ワード処理はここでは無視)

<a href="http://AA">http://AA</a> <a href="http://BB">http://AA</a>

つまり、2番目においてタグ内のURLは正しいが表示されるURLは初めのURLが入ってしまうということです。

ここでさらに、そもそも<とか>を打ち込めることを含め最終的に

<!-- hthref="hoge.jp"tp://google.href="hoge.jp"jp --> hthref="hoge.jp"tp://yahoo.href="hoge.jp"jp

とすることで、投稿内容はコメントアウトを除くと

<a href="http://yahoo.jp">http://google.jp</a>

という結果に仕上がります。

たいしたあれに見えないようですが、ゲームのユーザー層は若者中心であり、
かつ携帯電話ということを考えるとかなり有用でしょう。
「ここで有料アイテムもらえますよ」などとうまく誘導してあげるとそこそこ釣れる気がします。
現に禁止ワード回避でht tp://ho ge. jpのような書き方で
紹介ポイント目的の誘導をかけている人がいますが、そこそこ釣れているようで。

で、問題はセッションIDは常にURLに含まれているので、
リファラからセッションID取得し、なおかつau、SBの場合識別番号も取得すると…
もしくは、単純にフィッシングページを用意して、スマートフォンユーザのログイン情報を取得。
というシナリオが通りそうな気がするわけです。
さすがにそこまでは僕やらないですよ。