16歳の少年、「Steam」で認証なしにゲーム販売できる脆弱性を二晩で発見。「ペンキが乾くのをじっと見るゲーム」で実証しValveに訴え
高度なハッキング能力を持ちながらもその力を悪用せず、Webサービスやサイトなどから発見した脆弱性を運営者に報告したり、サイバー犯罪の対策を立てる人たちが存在する。アカウント流出などサイバー犯罪が当たり前のように起こる昨今、企業や組織が彼らを用いることは多く、たとえば昨年開催された「LINE Bug Bounty」などのように、運営元が問題の発見者に報酬金をわたす話もよくある。
逆に彼らがいくら指摘しても、企業側が無視やだんまりを決めこむという例もある。そういった時、彼らは自身の発見を証明するため、その問題を「実証」してしまうことが時たまあるようだ。
3月27日の日曜日、『Watch Paint Dry』と名付けられたタイトルがSteamに掲載された。それは45分間、ただペンキが乾くのを眺めるというRPGツクール制のくだらないゲーム。実は本作、英国に住む若干16歳の少年が、Steamの脆弱性をValveに訴えるため生みだされた作品なのだという。
若干16歳のRuby Nealon氏がMediumにて披露したのは、「Valveの認証も得ずにSteam上でゲームをリリースするという方法」だ。これはパブリッシャーやデベロッパーに提供されるSteamworksにアクセスできるならば、誰でも利用できた方法だったという(少年はSteamworksへとアクセスする方法を明らかにしていないが、WebフォーラムやSteam Greenlightの脆弱性を悪用したり、Valveの誰かに直接コンタクトを取ったわけではないと説明する。通常SteamworksはGreenlightを通過するか、既存のSteamworksグループの管理者にアカウントを追加してもらわなければアクセスすることはできない)。
ユーザー製コンテンツを制作し申請する時にこの方法に気づいたNealon氏は、当初Valveに何度も連絡したものの取り合ってもらえなかった。そこでエイプリルフールも近づきつつある中、Nealon氏はこの問題が改善されるように、”いたずら”をしてValveの注目を集めることを決意する。主役となるのは、RPGメーカーで制作された『Watch Paint Dry』。45分間、ただ壁に塗られたペンキが乾くのをただ見続けるという馬鹿げたシミュレーターだ。
Nealon氏によれば、Steamへゲームをリリースするには3つのステップをクリアしなければならない。第一にValveがストアページを認証する。次に最低でも完成間近のビルドを提出する。そしてリリースの設定を決める。まずNealon氏はSteamworksの審査申請フォームのソースを調べ、Valveから認証済みとされるフォームの選択肢の”Value”の値を発見しそれに変更保存、Steamトレーディングカードなどの機能がValveから認証された状態にした。そしてその際に見つけた”sessionid”リクエストとセッションIDを利用することで、ゲーム(アプリ)をリリースする要求にも成功したのとだという。Nealon氏はSteamworksのサイトはほとんどがAJAXであり、Javascrpit機能のすべてのコードは難読化されずに見れたとも伝える。
当初Nealon氏は4月1日にストアページを公開し「4月1日にリリース予定」としたかったそうだが、これが販売されるゲームのリストに表示されないことが最適だと思い、Valveにこの件をあらためて通達したと伝えている。当初はいたずら心もあったそうだが、悪のハッカーの道へと進むことはなかったようだ。すでに今回Nealon氏が指摘した問題は修正済みであるという。
海外メディアKotakuに対し、Nealon氏は「僕はみんなに、ここはもっとも巨大なインターネットのウェブサイトの1つで、これはバックエンドなんだということを理解して欲しかった。16歳のクソガキが二晩でやり遂げたんだ」と伝えている。彼はいわゆる飛び級で現在すでに大学に通っており、情報セキュリティについて学んでいるという。将来有望とは彼のためにある言葉だろう。今回の件では多数のゲーム系海外メディアに取りあげられ、脚光を浴びている。
ただ、今回のように脆弱性を発見しさらに実証までしてしまったユーザーたちが、必ずしも賞賛を浴びてきたわけではない。たとえば2014年には『Euro Truck Simulator 2』の開発者がSteamの問題を伝えるため同様の手法を取り、Valveから1年間のBAN処分をくだされてしまった。またゲーム外でも、2013年にはFacebookで他人のページにコメントを投稿できるバグを発見したユーザーが、CEOのMark Zuckerberg氏のアカウントを利用して実証し、本来もらえるはずだった報奨金がキャンセルされたという話もある。彼の手腕は褒め称え、Valveの怠慢に目をそむけつつ、今回の件が必ずしもホワイトハック的なものとは言いづらいことを頭の隅に残しておきたい。