近年、ゲームプラットフォームSteamユーザーを狙ったアカウント乗っ取り事件が頻発しています。乗っ取りの手口はフィッシング、コンピュータウィルス、なりすましなどさまざまです。
Valveも2段階認証はもちろん、モバイルを経由するトレードなどのシステムなどを導入。さまざまなセキュリティ強化を行っていますが、乗っ取りを狙う側の手口も複雑化しており、被害に遭うユーザーもなかなか減少していないようです。
Steamではないのですが、筆者も過去にBlizzard Entertainmentのアカウントを乗っ取られた経験があります。乗っ取りに気づいてサポートに連絡し、アカウントは無事に取り戻せたのですが、その間に『ディアブロ3』でかなり遊ばれたようです。自分のゲームは知らないキャラクターと中国人フレンドだらけのアカウントに変貌していました。
アカウントにカード情報を登録しておらず、購入済みのゲームが遊ばれるだけの被害で済んだのは不幸中の幸いでした。サポートとのやり取りや復旧後の作業など、非常に手間がかかってしまいました。そしてなにより、まさか「自分がこんな目に遭うなんて」とセキュリティに関しての油断を恥じたことを覚えています。
本稿では、さまざまな乗っ取りの事例や「なぜSteamアカウントが狙われるのか」などをご紹介。セキュリティ強化の方法などもあわせて紹介していきます。
なぜSteamアカウントが狙われる?
なぜSteam含め多くのゲームプラットフォームで乗っ取りが発生するのでしょうか。Valveによると、2015年には毎月約77,000のアカウントが被害に遭っていることが発表されています。
記事によるとアカウント乗っ取りの狙いのひとつに「ユーザーが所有しているアイテム」があります。Steamでは、一部のゲームで入手できるアイテムなどをユーザー間がSteamウォレットで売買できる「コミュニティマーケット」機能が存在しています。このシステムを利用し、乗っ取ったユーザーの持つアイテムを移動や販売しているのです。
ゲーム内アイテムは一部非常に高騰しているものもあり、バトルロイヤルシューター『PLAYERUNKNOWN'S BATTLEGROUNDS』では最近でも10万円を超える取引が行われています。ここまで高額なものを所有しているアカウントは稀なのですが、一般ユーザーでも数百円以上になるアイテムを所有していることは決して珍しくありません。
そして、乗っ取られたアカウント自体も売買の対象になってしまいます。海外国内問わず「アカウントを販売するサイト」が存在しており、ゲームが多い、ウォレットが多いアカウントなどは高額で売買されているのです。
※アカウント売買はたとえ本人であっても規約で禁止されている行為です。
ユーザーのアカウントは、関連するあらゆる情報(例えば連絡情報、請求先住所、アカウント履歴と利用権など)を含め、厳重に個人的なものです。すなわち、ユーザー以外の第三者に対してアカウントの利用権を売却したり、利用権を根拠に料金などを徴収したり、アカウントを譲渡したりすることはできません。
また、本規約(利用権対象物に関する規定またはサービス利用規定を含みます)で明確に許可される場合または Valve が別途明確に許可している場合を除き、利用権対象物の利用権を第三者に売却したり、この利用権を根拠に料金などを徴収したり、利用権対象物を譲渡したりすることはできません。
もちろん、アカウントとカード情報などがリンクされている場合、そちらを悪用される危険性もあります。
手口はさまざま!アカウント乗っ取り方法
さて、それでは悪意のあるハッカーたちはどのようにアカウントを狙ってくるのでしょうか。この項では、実際に被害に遭ったユーザーからの投稿などを含め、いくつかのパターンを紹介していきます。
■フィッシング
メールやチャットなどを介して「Steamではない別のサイト」に誘導。誘導されたサイトへログインすると、実際に使用しているアカウント名やメールアドレス、パスワードなどを抜き取る方式です。「別のサイト」は、まるでSteamのようなレイアウトをしている場合が多いようです。
Steamに限らず、フィッシング詐欺はログイン情報を手に入れようとするかなりメジャーな攻撃行為。Steamでは「アカウントがロックされている」というメールや、Steamコミュニティーへの招待を装うチャットにリンクが貼られていることが多いようです。スクリーンショットなどの投稿への返信に怪しいURLが記載されているケースも見かけます。
また、SNSやYouTubeなど外部サイトを介した手口も増加しているようです。
■マルウェア
さまざまな方法を介してPCなどに侵入。侵入されたユーザーのPCでは情報を抜き取る、新たな感染経路にするなど、悪意のあるプログラムを実行します。フィッシング詐欺同様に「特定のURLにアクセス」、または「マルウェアを仕込んだプログラムを起動」などの感染経路があります。
Steamでは以前、リンクを踏んだことで感染するマルウェアが猛威を奮っていました(カスペルスキーが警告)。また、Steamのプロフィール画像を利用した「SteamHide」と呼ばれるプログラムも存在しているようです。
過去には開発者支援プログラムSteam Greenlightにて、「他人のゲームのクローンを作成してマルウェアを仕込む」といった悪質な方法も報告されています。
■チャットやDiscordを利用した詐欺行為
近年増えているのが、SteamのチャットやコミュニケーションツールDiscordなどを利用した方法。コミュニケーションツールを使用する方式の場合、以前はフィッシング詐欺やマルウェア感染を狙う悪意のあるURLを貼るパターンが多く見られていました。
しかし、現在では狙いのユーザーに「不正な取引が行われている」「誤ってBANレポートを送ってしまった」などのメッセージを送信。不安に思ったユーザーが反応した場合に、Steamの関係者を装う人物が対応して情報を引き出すなどの手口も登場しているようです。
この方式では2段階認証が通用しない場合もあるようで、ますます手口は巧妙化されているようです。
※本ツイートの投稿許可を頂き、誠にありがとうございました。
悪意からどうやって身を守る?
現在Steamでは、アカウントを保護するため「Steamガード」「Steamモバイル認証」などのセキュリティ対策を用意しています。
「Steamガード」は、認証されていないデバイスからSteamにログインを試みた場合に認証コードが必要になる2段階認証システム。「Steamモバイル認証」にて自分のデバイスを登録することで、そのセキュリティはより強固なものになります。また、外部URLに接続する際は警告も表示されます。
Steamによるセキュリティ対策は行われていますが、それでも悪質な乗っ取り被害は続いています。悪意のある人間とセキュリティ対策の関係は、どうしてもいたちごっこになってしまいます。そのため、大切なのはユーザー自身が自らを守るということです。
不審なURLにアクセスしない。
知らないユーザーからのコンタクトを簡単に信用しない。
個人情報を求められても他人に教えない。
たとえフレンドであっても突然送られるURLなどのチャットは警戒する。
セキュリティソフトを導入する(マルウェア・不審なURL対策)。
パスワードは強固なものにする、同じものを使い回さない。
SNSなどで不用意に個人情報を出さない。
2段階認証など専用セキュリティを導入する。
何かあったらSteamサポートなどの公式窓口を利用する
まずは、このあたりを徹底することから始めましょう。ここで書いているのは本当に「当たり前」の話です。その当たり前を徹底することが、自分自身を守るのではないかと思います。
アカウント乗っ取りとは決して対岸の火事ではありません。Steamの記事では「すべてのSteamアカウントがターゲットされている」と言われており、誰もが少しの油断で被害に遭う可能性があるのです。筆者もかつて被害に遭った際、自身にセキュリティに関する油断があったことは否めません。
悪意から身を守るために大切なのは、さまざまな手口に対する情報を入手すること。「カスペルスキー」の公式ブログでは、さまざまなケースや対策などの紹介を行っています。そのほか国民生活センターや大阪府警察などでもSNS乗っ取り対策について特集を掲載しているため、参考にしてみてください。
アカウントは自分の大切な財産です。セキュリティに気を使いながら、楽しいSteam生活を送りましょう!
