狙われるSteam:犯罪者がゲーマーを食い物にする手口とは?

2016年2月29日

普通の人と同じように、サイバー犯罪者にも得意分野があります。SNSで人を騙す犯罪者もいれば、メールでマルウェアを拡散する犯罪者もいます。そして、ゲーム用のアイテムやアカウントをお金に換える術を知っている犯罪者も。

valve-steam-security-featured

ゲーマーを狙う犯罪者の主な漁り場は、Steam、Origin、Battle.netなどの大手ゲームプラットフォームです。彼らは一般的に、サイバーセキュリティに疎いユーザーだけでなく、新規登録ユーザーの特徴を分析し、標的にします。特にマルチプレイヤー型のオンラインゲームが人気を集めており、毎月大量の新人ゲーマーが登録するので、サイバー犯罪者は標的に事欠きません。

前もって危険性を知っていれば対策もできます。そこで、同じ手口に引っかからないためにも、広く横行しているSteam詐欺をリストアップし、紹介することにしました。

1. フィッシングは、SNSやもっと規模の大きいインターネット上で有効な手法ですが、それと同じくらいSteamでも有効です。詐欺師は自分たちの勝率を上げるため、あるいは友人のアカウントのクローンを作成するために、標的の特徴を分析します。

それから、プライベートメッセージで「助け」を求めたり、「すごいゲームガイド」にアクセスする方法を教えたり、アイテムなどの交換を持ちかけたりします。テキストの内容は何であれ、目的はただ1つ。メッセージ内の偽のリンクをクリックさせることです。標的となった人がリンクをクリックすると、Steamそっくりの不正サイトが表示され、ログイン情報を要求されます。騙されてこのサイトで認証を行えば、Steamのアカウントを永久に失う危険があります。

こうした種類の詐欺を防ぐため、ValveはSteam Guardを開発しました。この機能を有効にし、モバイルアプリ経由(推奨)またはメール経由でSteamの2段階認証を使用することをお勧めします。ログインとパスワードを入力する際は、本物のサイトかどうかを毎回確認してください。URLの綴りが間違っている場合や、余計なスペースや記号が入っている場合は、間違いなく偽サイトです。偽サイトでは何もしないでください。

2. ソーシャルエンジニアリングで標的を騙せないとわかると、犯罪者はSteam以外の場所から良いカモを見つけようとします。そのために、ただで何かを手に入れる方法(特別な体験ができる、アイテムをコピーできる、「秘密の」チートコードが手に入る、など)を紹介する記事やYouTube動画を作成します。

こういう詐欺師が教えてくれる耳寄りな情報は、別のWebサイトからコピー&ペーストされたものがほとんどです。そのテキストや動画では、ソフトウェアや拡張機能をダウンロードすればゲームキャラをとてつもなくパワーアップさせることができる、としつこく勧めてきます。騙された人がマルウェアをダウンロードすると、詐欺師の本来の目的が遂行されるのですが、実際どういうことになるのかはケースバイケースです。Steamアカウントを失うかもしれませんし、強力なランサムウェアの標的になるのかもしれません。こうした脅威から身を守るには、信頼できるセキュリティ製品を導入するのが一番です。また、警戒を怠らず、リンク先を開いたりインターネットからファイルをダウンロードしたりするときは、問題がないかどうか改めてチェックしましょう。

3. アイテムの決済は普通Steam上で行いますが、PayPalやWebMoneyなどの電子マネーサービスも利用できます。

つまり、アイテムを現実の通貨で取引できるわけですが、詐欺師は支払いを済ませた後で電子マネーサービスのサポートセンターに連絡し、取引を無効にして返金してほしいと申し立てます。詐欺師は自らの言い分を証明するため、被害者の方が詐欺師であるかのように仕立てあげたSkypeのスクリーンショットを捏造し、サポートチームに送付します。

サポート担当者がこの話を信じてしまえば(その可能性は高いでしょう、真の被害者は気付いていませんから何の行動もとりません)、被害者はアイテムもお金も詐欺師への「ギフト」として搾取されてしまいます。しかも、これらを取り返す手段はありません。こうした理由から、Steamの取引サービス以外でのアイテム売買はお勧めできません。

4. あなたと友達になりたい、または昔の友人だと言ってくる人がいます。お察しのとおり、こういう人が使っているのはサブアカウントです。最終的に彼らは「こんなすごいアイテムがあるから試してみて」と持ちかけ、「嘘じゃないよ、命を懸けてもいい、必ず返すから!」と言い放ちます。

もちろん、信じてはなりません。自分の友人かもしれない可能性がほんの少しあったとしても、真に受けてはなりません。本当にそのジョンやらジェーンやらが知り合いかもと思ったら、電話やチャットで話しかけて確かめてみましょう。ただし、これだけは覚えておいてください。詐欺師にアイテムを渡してしまったら、戻ってくることは絶対にありません。

5. 詐欺師が騙るのは、「友人」だけではありません。時にはSteamの社員を名乗り、一芝居打つことがあります。ユーザーを詐欺師呼ばわりし、「調査」と「確認」のためと称して、強引にゲームアイテムを提出させるのです。

もちろん、その人物はValve Corporationの社員ではありません。Steamの中の人が、誰かとアイテムをシェアするように言ってくることはありません。ですから、こういった詐欺師に遭遇したら、遠慮なく報告してください。

6. 詐欺師は、確認用のリンクが入ったメールやリンク自体を送ってほしいと言ってくることがあります。どんな説明があったとしても、絶対に応じないでください!詐欺師がリンクを手に入れてしまうと、あなたの許可がなくても取引を完了できます。そんなことになるのは誰だって願い下げです。

7. 多くの場合、詐欺師はやたらと急かします。もちろん、わざとです。そうやって、たとえば、レアそうに見えて実はそうでもないアイテムを勧められるかもしれません。脇の甘い人ほど、詐欺師のあの手この手のテクニックに騙されやすいものです。

相手に急かされても屈せず、売買を確定する前に必ず取引内容を2回、3回と確認しましょう。

Steamのポリシーには、詐欺で奪われたアイテムを取り戻すことはできないとあります。できるのは、Steamのサポートサービスに詐欺被害を報告するくらいです。

報告の手順は、次のとおりです。

  • 詐欺師のアカウントを開きます。
  • ページの右上端にある[メニュー]のドロップダウンをクリックします。
  • [違反行為の報告]を選択します。
  • 違反内容を選択します([トレード詐欺を試みた]など)。
  • [レポートを送信]ボタンをクリックします。

躊躇する必要はありません。こういう輩を懲らしめる人がいなければ、金銭強奪行為は続くでしょう。