マルウェアはどのようにしてゲームアカウントを盗むのか

Origin、Battle.net、Uplayなどゲームプラットフォームのアカウントのログイン情報を盗もうとするトロイの木馬について。

Kaspersky Dailyでは、ゲームをする人々が直面するオンライン脅威をたびたび取り上げています。海賊版・改造版・チートツールに潜むマルウェアや、おなじみのフィッシング、ゲーム内アイテムを売買または交換をするときに遭遇するかもしれないさまざまな詐欺…少し前には、アカウントの購入に関する問題についても取り上げました。ありがたいことに、こうした脅威のことを知っていれば避けることができます。

知っておきたい問題として、今回取り上げるのは「パスワードスティーラー」というタイプのマルウェアです。パスワードスティーラーは、コンピューターに侵入してパスワード情報(ユーザー名とパスワード、セッショントークン)を盗むトロイの木馬で、カスペルスキー製品は「Trojan-PSW.***」という検知名で検知します。

Steam Stealerについては、ご存じかもしれません。これは、世界で最も著名なゲームプラットフォームであるSteamのアカウントを盗むトロイの木馬の名前です。しかし、ゲームプラットフォームはSteam以外にもBattle.net、Origin、Uplay、 Epic Games Storeなどがあります。いずれも何百万というお金の動く場所なので、当然ながら攻撃者は関心を寄せていますし、こうしたプラットフォームのアカウントを狙うパスワードスティーラーも存在します。

パスワードスティーラーとは何か

パスワードスティーラーは、アカウント情報を盗むマルウェアです。本質的にはバンキング型トロイの木馬と似ていますが、入力されたデータや送信されたデータを盗むのではなく、コンピューター内に保管された情報を盗みます。たとえばブラウザー内に保存されたユーザー名とパスワード、Cookie、感染デバイスのハードディスク上にあるファイルなどです。それだけでなく、ゲームアカウントは標的の一つにすぎず、オンラインバンキングのログイン情報にまで興味を示すタイプのパスワードスティーラーもあります。

パスワードスティーラーは、さまざまな方法でアカウントを盗みます。たとえば、例としてKpotというトロイの木馬(別名:Trojan-PSW.Win32.Kpot)の場合を見てみましょう。このマルウェアはスパムメールに添付ファイルとして付いてきて、脆弱性(たとえばMicrosoft Officeの脆弱性)を突いて実際のマルウェアをコンピューターへダウンロードします。

続いて、Kpotはコンピューターにインストールされているプログラムに関する情報を指令サーバーへと送り、サーバーからのコマンドを待機します。可能性のあるコマンドは、Cookieを盗む、TelegramやSkypeのアカウントを盗む、などさまざまです。

Kpotはまた、%APPDATA%\Battle.netフォルダーから.configという拡張子の付いたファイルを盗むこともできます。お察しのとおり、このフォルダーはBlizzardのランチャーアプリであるBattle.netに関連するフォルダーです。.configファイルにはプレイヤーのセッショントークンが含まれるので、サイバー犯罪者は、実際のユーザー名とパスワードが分からなくても、トークンを使ってその人になりすますことが可能となります。

なぜこのようなことをするのか?単純な話です。手に入れたゲーム内アイテムをすぐに売りさばくためで、場合によってはかなりの利益になることもあります。特に、『World of Warcraft』や『Diablo 3』といったBlizzardのタイトルの場合には、あり得る筋書きです。

Ubisoft のランチャーアプリであるUplayを狙うOkasidisというマルウェア(カスペルスキー製品では「Trojan-Banker.MSIL.Evital.gen」として検知)の場合、ゲームアカウントに関してはKpotとまったく同じふるまいを見せますが、%LOCALAPPDATA%\Ubisoft Game Launcher\users.datおよび%LOCALAPPDATA%\Ubisoft Game Launcher\settings.ymlという特定の2種類のファイルを盗む点が異なります。

Uplayを標的とするマルウェアには、Thief Stealer(カスペルスキー製品では「HEUR:Trojan.Win32.Generic」として検知)もあります。Thief Stealerは、%LOCALAPPDATA%\Ubisoft Game Launcher\フォルダーからすべてのファイルを盗みます。

Uplay、Origin、Battle.netをすべて標的とするBetaBotというマルウェア(カスペルスキー製品では「Trojan.Win32.Neurevt」として検知)の場合は、動作モードが異なります。感染したユーザーが特定のキーワード(たとえば「uplay」「origin」など)を含むアドレスのWebページを訪問すると、このマルウェアはそのページにあるフォームからのデータ収集を有効にします。つまり、そのページに入力したユーザー名とパスワードは、攻撃者の手に渡ります。

上記3例のいずれの場合も、感染したコンピューターの持ち主が気付く可能性は高くありません。トロイの木馬はコンピューター上に何らかの形で姿を現すことはなく、何かを要求するウィンドウを表示させるわけでもなく、ただファイルやデータを密かに盗んでいきます。

ゲームアカウントを狙うトロイの木馬からアカウントを守るために

基本的に、ゲームアカウントもその他アカウントと同じように保護する必要があります。以下の対策を参考にしてください。

  • 2段階認証/2要素認証でアカウントを保護する。SteamにはSteam Guard、Battle.netにはBlizzard Authenticatorがあります。Epic Games Storeの場合は、認証アプリを使うか、テキストメッセージまたはメールを使うか、どちらかを選びます。2段階認証/2要素認証で保護してあれば、サイバー犯罪者はユーザー名とパスワードを知っていてもアカウントにアクセスできません。
  • 改造版を怪しげなWebサイトからダウンロードしたり、海賊版をダウンロードしたりしない。攻撃者は何でも無料で手に入れようとする人々がいるのを分かっていて、クラック版やチートツールや改造版の中にマルウェアを潜ませます。
  • 信頼できるセキュリティ製品を使用するカスペルスキー セキュリティは、スティーラーを検知して阻止します。
  • セキュリティ製品は、プレイ中もオフにしない。セキュリティ製品を無効にしてしまうと、パスワードスティーラーが突然活動を始めるかもしれません。カスペルスキー セキュリティにはゲームモードが備わっており、プレイ中にアンチウイルスプログラムがシステムリソースを使いすぎるのを防ぎます。このモードを活用することによって、パフォーマンスやフレームレートが影響を受けることはありません。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?