ウイルスに狙われるコンピュータゲームの愛好家たち

犯罪者はマルウェアを悪用し、ゲームアカウントやゲームアイテムをどのように盗むのでしょうか？

ゲームアイテムを盗むマルウェアの例

Trojan.SteamLogger.1は、2014年10月にDoctor Webウイルスアナリストによって発見され、Dota 2、Counter-Strike: Global Offensive 及び Team Fortress 2のゲームをプレイするプレイヤーたちから貴重なゲームアイテムを盗もうとしています。

Trojan.SteamLogger.1のメインモジュールは、起動されると感染したシステムメモリ内でSteamプロセスを検索し、ユーザーがアカウントを使用してSteamサーバー上にログインしているかどうかを確認します。ログインしていない場合、プレイヤーがサーバーに認証されるまで待ち、Steamユーザーアカウントに関する情報（SteamGuardが有効かどうか、Steam ID、セキュリティトークン）を盗んで犯罪者に送信します。その応答としてTrojan.SteamLogger.1は、被害者から盗んだアイテムの送信先となるアカウントのリストを受け取ります。このトロイの木馬は最も価値のあるアイテムであるchestやchest keyを盗もうとしていることが分かります。また、Trojan.SteamLogger.1はプレイヤー自身による仮想アイテムの売買をモニタリングし、プレイヤーがアイテムを売ろうとした場合は該当するアイテムをリスト上から削除することでそれを妨プレイヤーす。

収集されたデータを全て犯罪者のサーバーへ送信した後、トロイの木馬はSteam設定内で自動認証が有効になっているかどうかを確認し、無効になっていた場合は別のスレッドを作成してキーロガーを起動させます。記録されたキーストロークは15秒間隔で犯罪者に送信されます。

Trojan.SteamLogger.1は、フォーラムやSteamライブチャットを利用してゲームアイテムの売買や交換を持ちかけることで拡散されていると考えられます。

アカウントを盗んで儲かろうとする犯罪者が使う仕組みとは？

• アカウント販売:オンラインショップを作成し、盗まれたアカウントを販売します。
• ゲームアイテムの移動、及び販売：犯罪者はアカウント内のゲームアイテムの全てを別のアカウントへ移動し、販売します。
• 仮想通貨の借り入れ詐欺:アカウントを盗んだ犯罪者は、ギルドメンバーの信用を悪用し、仮想通貨を借り入れるかギルドバンクから通貨を奪うことができます。プレイヤーは自分自身の名誉に悪影響が出るほか、ゲームサーバーへのアクセスが拒否されるため、精神的なダメージを受けざるを得ませんので、プレイヤーが神経質な子供である場合には極めて重大な結果を招く恐れがあります。
• フィッシング詐欺の目的でリンク先の配信：例えば、犯罪者はアカウントのオーナーの名前を名乗り、ゲーム開発会社によるキャンペーン実施情報を装う広告を掲載します。キャンペーン参会者は外部サイト上に登録を行うために、ログインやパスワードの入力が必要になります。別の例として、主人公のキャラメイクを行うソフトウェアについての広告が挙げられます。しかし、実際には、こうしたソフトウェアを介してウイルスやトロイの木馬が拡散されるため、プレイヤーの評判が損なわれます。
• 身代金要求：犯罪者はアカウントへのアクセスをブロックし、プレイヤーに対し身代金を要求します。

プレイヤーのコンピュータを感染させる手法とは？

トロイの木馬を拡散することによってプレイヤーのコンピュータを感染させるのが、一つの手法となります。

犯罪者はプレイヤーの名前を名乗り、偽造webサイトにリダイレクトするリンク先の配信を行います。例えば、ゲーム開発会社によるキャンペーン実施情報を装う広告を掲載します。キャンペーン参会者は外部サイト上に登録を行うために、ログインやパスワードの入力が必要になります。また、主人公のキャラメイクを行うソフトウェアについての広告が挙げられます。こうしたソフトウェアを介してウイルスやトロイの木馬が拡散されることがあります。プレイヤーたちのうちには、特に未成年者が犯罪者による脅威を十分に認識しないため、犯罪者の標的になり易いです。

ゲーム購入に使われるSteamウォレットも犯罪者の狙いとなります。 例えば、犯罪者はフィッシング手法を悪用し、Twitchサービス会員に対し宝くじに参加するようメールを配信します。被害者はCounterStrike: Global Offensiveのシュウーターのための武器やコレクション・アイテムを当てるよう促されます。しかし、悪意のあるソフトがSteamアカウントにアクセスするときに、被害者であるプレイヤーのコンピュータ上に潜入したトロイの木馬が画像キャプチャーを取ったり、新しい友達を追加したり、Steamウォレットを使ってアイテムを購入したり、売買取引についてのやり取りは独自（！！）で行ったりします。盗まれたアイテムは、Steam Community Marketにおいて35%にまで及ぶ割引で販売されます。

Twitchなどのようなサービスの会員ユーザーがアイテム売買を提案するメッセージに慣れていることが、犯罪者に悪用されています。また、ユーザーはストリーミング時に儲かることができるため、Twitchは、プレイヤーたちによく使われる人気のあるストリーミング方式プラットフォームの一つとなっいます。こうのようなストリーミング放送者のうちには、合法的な方法で会員者数を増やすものがいますが、ボットネット（感染したコンピュータで構成されるネットワーク）を悪用することで会員者数の水増しを行うストリーミング放送者も存在します。ゲーム業界では、ボットネットを使って会員者数を増やすといった裏ビジネスさえあるわけです。

Steamプラットフォームを攻撃するマルウェアの例

2014年8月末、貴重なゲームアイテムが消えてしまったと訴えるSteamプラットフォームのユーザーからの書き込みが複数のゲームフォーラムで確認されるようになり、これらはトロイの木馬Trojan.SteamBurglar.1による被害であることが明らかになりました。このマルウェアはSteam上のチャットやフォーラムから、売買と交換のために武器やその他アイテムのスクリーンショットを開くよう促すメッセージと共に拡散されていました。スクリーンショット画像はTrojan.SteamBurglar.1によってユーザーのコンピューター上に表示されます。同時に、トロイの木馬はシステムのメモリ内でsteam.exeプロセスを探し出し、ゲームアイテムに関する情報を取得してから、貴重なアイテムを識別してそれらを盗み、転売します。盗まれたアイテムは犯罪者の使用するアカウントへ送られます。

先日ごろにDoctor Webウイルスアナリストは、犯罪者が悪意のあるコードが含まれるSteamページの偽コピーを作成しているという情報を取得しました。偽のページは、本物であるゲームページのデザインとそっくりです。偽のゲームを選んだユーザーは知らないうちにマルウェアのダウンロードページへリダイレクトされます。

攻撃の具体的なシナリオは、トロイの木馬のコードに組み込まれるペイロードによります。現時点では、マルウェアのうちに最も大きな脅威であるとされる暗号化トロイの木馬が潜伏するリスクが存在します。

注意喚起：暗号化トロイの木馬！

現在、悪意のあるコードが含まれるプログラム以外に、ユーザーのデータを暗号化し、復号化を行うための身代金を要求するトロイの木馬エンコーダ（暗号化ランサムウェア）が非常に大きな脅威として懸念視されます。進入経路は、迷惑メール、メッセージ内のリンク先、webサイトからのダウンロード、感染したフラッシュメモリなどになります。感染は、ユーザーが知らないうちにバックグラウンドモードで実行されるため、コンピュータ上のファイルが暗号化され、画面上には身代金についての要求が表示しない限り、判断できません。

暗号化ランサムウェアについての詳しい情報はこちら。

Doctor Webウイルスアナリストによると、暗号化トロイの木馬は、Call of Duty、 Minecraft、StarCraft 2、 Skyrim、 World of Warcraft、 League of Legends、 World of Tanksなどの人気のあるゲームに利用されるファイルの拡張子を暗号化できる悪質なペイロードを持っています。

人気のあるゲーム、ウイルス作成者に悪用される傾向へ

現在、ウイルス作成者がゲームを介してマルウェアを配信しようとする傾向が見られます。

通常、クライアントプログラムがCounter-Strikeサーバーに接続すると、クライアントコンピュータ上には存在しないゲームに必要なコンポーネントをリモートホストからダウンロードします。

2001年、Doctor Webウイルスアナリストが調査を行った結果、次のような手法が明らかになりました。つまり、攻撃者グループがCounter-Strikeのゲームサーバーをセットアップし、トロイの木馬Win32.HLLW.HLProxyを配信します（これは少し前に「便利な」アプリケーションとしてCounter-Strikeプレーヤーの間で広がり、多くの人が進んで自分のパソコンにダウンロード、インストールしたものです）。

このトロイの木馬の配布方法は若干風変りでもあります。ユーザーがゲームサーバーに接続すると、サーバー広告やその管理者によって設定されたルールセットを持つMOTDウェルカムスクリーンが表示されます。ウィンドウにはHTMLファイルが含まれており、MOTDファイルは、ユーザーを犯罪者がコントロールするサーバーへリダイレクトしてしまうIFRAMEを含んでいます。そこから被害者のコンピュータ上にWin32.HLLW.HLProxy.

このトロイの木馬の真の目的は、プレーヤーのコンピューターにプロキシサーバーを導入することです。このプロキシサーバーは同じコンピューター上のCounter-Strikeゲームサーバーを真似て、情報をVALVEのサーバーに送信します。トロイの木馬であるこの偽ゲームサーバーにアクセスすると、クライアントのソフトウェアは攻撃者のコントロールするゲームサーバーにリダイレクトされ、プレーヤーはそこからトロイの木馬Win32.HLLW.HLProxyを受け取ってしまいます。

こうしたことを背景に、感染させたコンピュータ台数が飛躍的に伸びる結果となりました。

さらに、このトロイの木馬はゲームサーバー及びVALVEのサーバーにDDoSアタックを行うことも可能で、多くのサーバーが使用出来なくなる場合もあります。犯罪者の目的の1つは、ゲームサーバーへの迷惑なDDoSアタックに加え、感染者を増やし、ゲームサーバーのオーナーからお金をせしめることかもしれません。

ゲームを真似するウイルスの拡散、Android搭載デバイスを標的に

プレイヤーたちがゲームを信頼しがちであるため、犯罪者はそれを以下のように悪用しています。いわゆる「荒らし」プログラムと呼ばれるカテゴリに属するAndroid.Elite.1.originトロイの木馬が、ゲームなどのポピュラーなアプリケーションを装って拡散されています。

起動されると、Android.Elite.1.originはアプリケーションを正常にインストールするために必要であると偽って、モバイルデバイスの管理者権限を要求します。これに成功すると、保存されている全てのデータを削除することで直ちにSDカードのフォーマットを開始します。その後、トロイの木馬はメッセンジャーが起動されるのを待ちます。

SDカード上のデータを削除し、メッセンジャーをブロックするほか、Android.Elite.1.originはデバイスのアドレス帳に登録された全ての連絡先に対して5秒間隔でメッセージを送信します。こうして、感染したデバイスに関連したモバイルアカウントは数分どころか数秒もかからない内に削除されてしまいます！

ゲーム市場における競争、ウイルスを武器に

ゲームサーバーのオーナー間における競争―特に、それらのサーバーがGame Trackerでの評価の上位にある場合―は以前から熾烈なものでした。2012年2月、GoldSourceサーバー（そのうちにCounter-Strike、 Half-Lifeを含む）を動作不能にさせる悪意のあるアプリケーションがいくつか出現しました。Flooder.HLDSという名前でDr.Webウイルスデータベースに加えられたそのうちの1つは、ゲームサーバーへの大量のアクセスを模倣してフリーズやエラーを引き起こします。

もう1つの悪意のあるプログラムFlooder.HLDS.2は、クラッシュの原因となるデータパケットをサーバーに送信するものです。

いずれのアプリケーションもゲームフォーラムを介して広く拡散されており、それらを使用した、ゲームサーバーに対する同時攻撃の件数はこの1カ月の間に著しく増加しました。

興味深いことに、これらのプログラムはゲームサーバーを攻撃しようとする犯罪者自身のシステムに対してもダメージを及ぼすことがあります。Doctor Webウイルスアナリストは、ゲームフォーラムからFlooder.HLDS.2のコピーを入手しました。このプログラムの中には、起動されるとシステムをBackDoor.DarkNess.47バックドアおよびTrojan.Wmchange.14に感染させるものがあります。前者はバックドアおよびDDoSボットとして機能し、後者はユーザーのアカウントからお金を盗み出すために、感染したコンピューターのメモリ内にあるWebMoneyのIDを変更します。こうして、犯罪を企んだ者自身もまたウイルス攻撃の被害者となり、コンピュータを感染の危機にさらすことになります。