Steam利用者の皆さん、ご用心!

Steam利用者から金銭やアカウントへのアクセス権を巧みにだまし取る、新手の詐欺事件が発生しています。

オンラインゲームをプレイしたことがあるなら、Steamのことはご存じだと思います。Steamはオンラインコンピューターゲームを扱う世界最大のサイトですが、ゲームを配信するだけの場ではありません。話題のリリースについてゲーマーたちが意見を交わす巨大なコミュニティあり、ゲーム内アイテムを取引する場あり、ゲームのレビュー投稿ありと、さまざまなサービスを提供する実質的な「プラットフォーム」です。

これほどの巨大なリソースと数百万人にも及ぶ利用者を抱えたSteamを、ハッカーが放っておくわけがありません。これまでに当ブログでは、Steamアカウントを窃取するために開発されたトロイの木馬や、よくあるゲーム詐欺について取り上げてきましたが、新手の攻撃が次々に登場しています。今回は、詐欺師たちがゲーマーからお金やデータを巻き上げることを目的に開発した新たな手口に焦点を当てます。

無料またはお買い得なゲームキー

コンピューターゲームにはそれなりのお金がかかるので、プレーヤーからするとお買い得情報は大歓迎です。欲しかったゲームが公式セールの対象外だったときに、そのゲームのキーが半額で手に入るという情報を見かけたら、かなりそそられるのではないでしょうか。

インターネットには、キーを提供するストアがいくらでもあります。しかし、見知らぬ第三者からキーを買うのはかなりの冒険です。キーが本当に機能するか分かりませんから、売り手を信じるしかありません。

新作のゲームを手に入れたい、なるべく安価で買いたいと思うあまり、セキュリティの基本を忘れて怪しいサイトからキーを買ってしまう…よくある話ですが、結局、使用済みキーを掴まされてお金が無駄になるだけの可能性があります。

くじでゲームキーを当てよう

ゲーマーなら、わりあい簡単に偽のストアを見分けられるものです。そこで、できるだけ多くのゲーマーをだましてやろうと狙う詐欺師は、完全に不正ではないけれど誠実とも言い切れない、古典的な手口に目を向けました。「運を試してみませんか?ゲームキーが当たります!どんなゲームかは、当たってみてのお楽しみ!」こんなうたい文句を掲げたサイトをよく見かけるようになりました。

これは、中身の分からない品物に一定の代金を支払う、一種のくじ引きです。たとえば、1等賞品は約50ドル相当のゲームキー、2等以下はぐっと抑えられて1~2ドル程度のもの、キーを当てるくじに参加するのに3ドル、といった具合です。

これは必ずしも詐欺ではなく、すべてが幸運の女神の気分次第であるかのようです。しかし、このくじの裏にあるアルゴリズムは公開されていません。つまり、当選確率がどうなっているかは分からないので、支払った金額よりも価値の低いゲームキーが「当たる」のはほぼ確実です。「残念!次はもっといいものが当たるかも!」…いやいや。

冷静な人なら、そんな賭に出る前に、何が当たるかわからないくじを引く理由はあるのかと自問するでしょう。高価なゲームのキーが奇跡的に当たったとしても、そのゲームを気に入る保証はありません。ゲームにはさまざまなジャンルがあります。たとえば、戦略ゲーム好きな人が、恋愛シミュレーションゲームの新作が当たって喜ぶでしょうか?そういう話です。

ゲーム100本つきのアカウントを3本分の値段で

他人のアカウントを購入するのも、定価より安くゲームを手に入れる1つの方法です。このようなアカウントは、キーを安く密売する怪しげなストアでよく売られています。そんなものを売り買いする市場は、なぜ存在するのか?すぐに使えるプロフィールと、ゲームやゲーム内アイテムを、安く手に入れられるという魅力があるからです。

購入したIDとパスワードを使ってアカウントにログインすると、ゲームのコンテンツやアイテムが自分のものになるだけでなく、前の持ち主の成果もそのまま引き継ぐことができます。こういった近道を探すゲーマーは後を絶ちません。

アカウントの購入は、一見、売り手と買い手の双方にメリットがありそうです。しかし、再販アカウントは盗まれたアカウントである可能性が高いのです。盗難アカウントの可能性があるというだけでも、倫理意識のある人なら買う気を失うはずです。また、アカウントの本来の持ち主がアカウントを取り戻そうとする可能性もかなりありますから、そういうことになれば、盗難アカウントを買った人には何も残りません(売り手はおそらく返金保証をしていないでしょうから)。

ナイスなアイテムを無料で

Steamアカウントを売るには、盗んでこなければなりません。そこで一番よく使われるのが、おなじみのフィッシングです。その手口をざっと説明しましょう。

まず、Steamに関連する魅力的なオファー(無料で手に入るゲーム内アイテム、見逃せない交換条件など)が、あなたの目に留まります。個人あてのメッセージかもしれませんし、ゲームのレビューコメントやソーシャルメディアの投稿かもしれません。そこには、詳細ページへのリンクが記載されています。

このリンクをクリックすると、Steamの公式ページのように見えるページが開き、ログインIDとパスワードの入力が求められます。さて、Steamの公式ドメインはhttps://steamcommunity.comですが、詐欺師はこれとよく似たドメインを登録しています。例を挙げましょう。

  • steam.stearncommunity.click
  • steamcammunitty.com
  • steamcammunity.ml
  • steamcamrnunitty.com
  • steamcommmunnity.ml

お得な取引に心を引かれ、アドレスバーに表示されたURLを確認することなく情報を入力してしまうと、入力されたデータはそのまま詐欺師の元へ。このようにして、詐欺師はアカウントへのアクセス権を手に入れ、正当な利用者がアクセス権を失うのです。

便利すぎる機能を持つアプリ

これと似た手口に、アカウントのセキュリティ強化、機能の追加、あるいは別のSteam利用者の評判を落とすことなどをうたうアプリがあります。このようなアプリは無数にありますが、まず間違いなく信用できません。これらはデータを盗むアプリです。

フィッシングサイトと違うのは、アプリがデバイスに対する権限を要求してくる点です。うっかり権限を渡してしまったら、Steamのアカウント情報よりも大切なものを盗まれかねません。Steam関連のアプリとしては、2段階認証用のSteam Guardだけで十分です。

Steam詐欺から身を守るには

まずは、詐欺があるのだと意識しましょう。しかし、どんな人でもだまされる可能性はあります。詐欺に遭わないため、以下をぜひ参考にしてください。

  • お得すぎる価格には、おそらく裏があります。
  • 知らない人から送られてきたリンクは、絶対にクリックしてはいけません。知人から送られてきた場合は、その人に連絡して、何のリンクなのか、なぜこのリンクを送ってきたのかを確認しましょう。
  • 買い物は、公式サイトか、よく知られた大手ストアでしましょう。
  • どのようなサイトであっても、個人情報を入力するときは常に気をつけましょう。URLは、一文字ずつ確認してください。
  • Steamに2段階認証を設定しましょう。こうしておくことで、ログインIDやパスワードがどこかに漏洩してしまった場合でもアカウントへのアクセス権を保持できる確率が上がります。
  • コンピューターとスマートフォンの両方に優れたセキュリティ製品を導入し、定期的にデータベースを更新しましょう。アンチウイルス機能はマルウェアのダウンロードを防いでくれますし、フィッシング対策機能は詐欺サイトへのアクセスを阻止します。しかし、信頼できるセキュリティ製品を使っている場合でも、油断しないことが大切です!
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?