『サイバーパンク2077』を詐称しプレイヤーに金をせびるランサムウェアが確認される。その悪質さにセキュリティ会社も注意喚起

2020-12-26 13:16

『サイバーパンク2077』が「サイバー犯罪」に利用されている実態が明らかになっている。人気ゲームにとって、便乗する悪徳業者の問題は尽きない悩みだ。たとえばこの夏は『Fall Guys: Ultimate Knockout』のフィーバーに乗じて、同作の名前を騙る偽物アプリが大量発生（関連記事）。アフィリエイト稼ぎから架空請求サイトへの誘導まで、数多くの悪質な手口に用いられていた。一方、容易にはコピーできなさそうなゲームの偽物も出現している。今月10日に発売されたCD Projektの『サイバーパンク2077』を模倣するアプリの存在が確認されたのだ。その正体はというと、ランサムウェアの一種だという。
　

New Android #Ransomware disguised as #Cyberpunk2077 game.
Downloaded from fake website imitating Google Play Store.
Extension: .coderCrypt
Family: CoderWare/BlackKingdom https://t.co/JBudDP6vG1 pic.twitter.com/TdM4SAkFWl
— Tatyana Shishkova (@sh1shk0va) December 16, 2020

　
ランサムウェアとは、感染したPCやモバイル端末をロックしたりファイルを使用不能にしたりする不正なプログラム。しばしば暗号化の解除と引き換えに多額の金銭を要求してくるため、「身代金要求型不正プログラム」とも呼ばれる。マルウェアアナリストのTatyana Shishkova氏は、『サイバーパンク2077』モバイル版として偽装されたランサムウェアがAndroid向けに配信されていたことを報道した。もちろん『サイバーパンク2077』が配信されているのはPCおよびコンソールのみであり、モバイル向けというのはすべてフェイクだ。同氏が添付した画像からその姿が垣間見える。

ランサムウェアの配信ページは、Google Playストアときわめて酷似したデザインになっている。アプリの名称はそのまま『Cyberpunk 2077』で、配信元の名称もCD PROJEKT RED。アイコンにはオリジナル版のキーアートをそのまま転用しているため、外見だけで真偽を判断することは難しい。しかし『サイバーパンク2077』にモバイル版が存在しないことを知らなくても、よくページを見ればおかしな部分が見えてくる。本作は現時点ではシングルプレイモードしか存在しないにもかかわらず、説明文には「シリーズならではのマルチプレイヤーマップやモードを、いつでもどこでもプレイできます」という文言が。さらに下を見ていくと、「Activisionの利用規約は…でご確認いただけます」との記載。おそらくこの説明文は、同じGoogle Playストアにて配信されている『Call of Duty: Mobile』の概要をそのままコピー＆ペーストしたものだと思われる。
　

Google Playストアの『Call of Duty: Mobile』配信ページ

　
レビュー欄には300件近くの反応が寄せられているとされ、「ベータ版だが素晴らしい出来」との賛辞が。おそらくレビューも込みでの工作だろう。Shishkova氏の報道によると、アプリをダウンロードした後はデバイス内の写真・メディア・ファイルへのアクセス権限を要求される。そののち、プログラムに感染し端末がロックされたことを知らせる画面が出現。10時間以内に指定先へ500ドルを送金しないとデータが消去されると脅迫し、ご丁寧にビットコイン購入の手順を細かく説明している。

本件についてはサイバーセキュリティ企業カスペルスキーが、日本向けブログにおいても報道。ファイルの内部について詳しく解析している。いわく、今回のマルウェアは暗号化と復号に同じ鍵を使用しており、鍵はアプリ内にハードコードされているとのこと。よって、コードから鍵を割り出せば身代金を払うことなく、自力で暗号化を解除することが可能だという。加えて、制限時間によってファイルが削除される機能は実装されておらず、単なるこけおどしに過ぎないことも判明した。

『サイバーパンク2077』を利用したランサムウェアはWindows向けにも確認されている。ランサムウェア特定サイト「ID Ransomware」を運営するMalwareHunterTeamは11月、『サイバーパンク2077』になりすましてPC向けに不正プログラムを配布するサイトを発見。こちらのケースでは鍵はソフトウェア内にハードコードされておらず、感染のたびに無作為に生成されるためより解除が難しくなっているという。
　

"CyberPunk2077.sfx.exe" -> "CyberPunk2077.exe": 08124c7d2c97ffd108f1b7c9bba86aaeff5a41d16c77fcf11b3a8c9504f93424
Some Python ransomware, calling itself "CoderWare"…
Extension: .DEMON
"whatsap: +63 997 401 3126"
😂@demonslay335 pic.twitter.com/tmyagJ1ZEq
— MalwareHunterTeam (@malwrhunterteam) November 26, 2020

　
余談だが本家Google Playストアでも、『サイバーパンク2077』に便乗したアプリが複数見られる。たとえば『Cyberpunk 2088』と題されたタイトルは、ローポリのグラフィックが妙に癖になる一人称視点の作品。模倣なのかディメイク風パロディなのか、スレスレの危ういタイトルである。さらに『インフィニティオペレーション FPS Cyberpunk』はアイコンとロゴが『サイバーパンク2077』に酷似。まったくゲーム性の異なるマルチプレイヤーFPSながら、ネオンっぽい背景でかろうじて寄せていこうとする努力が垣間見える（なお配信元のAzur Interactive Gamesは『モダンストライクオンライン』や『スカイコンバット』など、見たことあるが聞いたことのないアプリを多数配信中）。「ネオンサインの背景＋黄色いキーアート」というフォーマットさえ守ればそれなりに“サイパンっぽく”見える、本作ならではのクローン文化が生まれているといえる。

『サイバーパンク2077』模倣作のすべてが不正プログラムとは限らないが、いずれも出自がかなり怪しいのは確かだ。あまり興味本位ではダウンロードしないのが得策だろう。『サイバーパンク2077』はPCおよびPlayStation 4/ Xbox One「でのみ」配信中である。