Minecraft に潜む大量のマルウェア:脅威アクターたちがゲーム環境を好む理由とは?

Minecraft is hackers’ favorite game title for hiding malware

2022/09/06 BleepingComputer — セキュリティ研究者たちが気づいたのは、サイバー犯罪者に最も酷使されているゲームタイトルが Minecraft であり、それを使って無防備なプレイヤーを誘い出し、マルウェアをインストールさせているという実態である。2021年7月〜2022年7月に Kaspersky が収集した統計データによると、ゲームブランドの悪用により拡散する悪質ファイルのうち、Minecraft 関連ファイルが 25%を占め、それ以降に FIFA (11%)/Roblox (9.5%)/Far Cry (9.4%)/Call of Duty (9%) と続いている。

この調査の期間中に悪用された割合が顕著だった、その他のゲームタイトルとしては、Need for Speed/Grand Theft Auto/Valorant/The Sims/GS:GO などが挙げられる。

モバイル分野では、PC ゲームに比べて配信量が非常に少なくなっている。 しかし、このカテゴリでも Minecraft が 40% のシェアを占め、以下 GTA (15%)/PUBG (10%)/Roblox (10%)/FIFA (5%) と続いている。

ただし Kaspersky は、2021年と 2020年との比較において、配信量 (-30%) と 被害ユーザー数 (-36%) が、ともに減少していると報告している。

ハッカーがゲームをダシに使う理由

ゲームの Cheat/Installer/Keygen として、あるいはゲーム本体として宣伝されるパッケージに、マルウェアが隠されている最近の事例としては、次のようなものがある。

  • Chaos ランサムウェアを仕込んだゲームフォーラム上の Minecraft alt リスト。
  • Roblox のライブラリを装った NPM パッケージにより、ランサムウェアやパスワード・スティーラーの展開。
  • マルウェアローダを含む Microsoft Store 上のゲームクローン。
  • YouTube 経由で販売促進された Valorant の、チート・プログラムに情報窃取用マルウェアが混入。

ゲーム・タイトルを悪用して、ハッカーが人々を誘い込む理由としては、ゲーム・タイトルが何千万人もの人々の興味を引くためであり、ターゲットが大量に存在することにある。また、最近の大半のゲームは、ゲーム内の経済的な側面を持つため、ハッキング/希少アイテム/各種チートにより、簡単な進行が約束されることは、ユーザーにとって大きな魅力となっている。

Fake money generator for GTA
Fake money generator for GTA (Kaspersky)

Kaspersky は、オリジナルを模倣したゲーム内の、いくつかの不正なアイテム・ショップの例を取り上げている。そこでは、プレイヤーを騙して、決して手に入らないアイテムに対価を支払わせ、アカウントの認証情報をフィッシングで入手しているようだ。

Fraudulent in-game items shop
Fraudulent in-game items shop (Kaspersky)

また、ゲーム自体が高価なものであるため、海賊版を購入する人もいる。さらに、開発中のゲームはクローズド・ベータ版であるため、ゲームにアクセスできない多くのユーザーは、別の方法を模索することになる。このような状況を悪用するハッカーは、偽のベータテスト用ランチャーとしての海賊版を提供している。

大半のゲームに関連する、改造/チート/ツールは、非公式の一人プロジェクトにより作成されるため、セキュリティの誤検出が多発する。そのため、多くの開発者は、それらをインストールする前に、アンチウイルスを無効にするように被害者に警告している。したがって、ゲーマーたちは AV の警告を無視して、検出されたマルウェアをシステム上で実行することになる。

どのようなファイルがドロップされるのか?

Kaspersky の統計によると、ゲーム・プレイヤーを狙う不正ファイルの多くはダウンローダーであり、検出された感染事例の 88.5% を占めているという。

Threats distributed by files under the guise of game titles
Threats distributed by files under the guise of games (Kaspersky)

その他としては、アドウェア (4.2%) や、ユーザーデータの窃取やホストマシンへの接続を狙う RAT (3%) などが、大きな割合を占めている。

なお、ダウンローダーは、インターネット・セキュリティ・スキャンでは問題が検出されなくても、ユーザーがプログラムを実行する際に、より危険なペイロードを取得するため、上記のとおり大きな割合を占めることになる。

Kaspersky によると、多くの場合において、情報窃盗や暗号通貨マイニングのマルウェアが、被害者のコンピュータにドロップされるとのことだ。

インターネットからフリーソフトウェアをダウンロードする際は、信頼できるサイトからダウンロードするよう注意してほしい。

さらに、プログラムを正しく実行するために、アンチウイルスを無効にする必要があると開発者が述べている場合には、制約なく悪意の動作が引き起こされる。したがって、その種のプログラムには近づかない方がよいだろう。

大人気の Minecraft ですが、ゲーム本体の海賊版だけではなく、正規版のゲームに潜り込む、不正なフォーラムやアイテム・ショップからも、ダウンローダーが拡散されているようです。それらのダウンローダーを介して、握手のマルウェアが C2 サーバから流し込まれることになります。また、ゲーマーたちは AV の警告を無視して、検出されたマルウェアをシステム上で実行するという現状も気になります。ゲーム・ブランドを悪用する関連ファイルとしては、Minecraft (25%)/FIFA (11%)/Roblox (9.5%)/Far Cry (9.4%)/Call of Duty (9%) となっているようです。ご注意ください。

%d bloggers like this: