Steamのキー詐欺業者にうんざりしたゲーム開発者、自ら詐欺師に聞き込み対策を編み出す。その手口とは

Pocket
reddit にシェア
LINEで送る

ゲーム開発者が自らの作品をリリースするうえにおいては、ゲームの存在や魅力を広く周知させるプロモーションは欠かせない。メディアやインフルエンサーにレビューしてもらうことは、その手法のひとつとなるだろう。Steamにてゲームのストアページを公開すると、興味をもった人物から逆にコンタクトを受けることもあるようだ。

ただ、「レビューしたいからSteamキーを送ってくれ」という依頼は、詐欺である可能性も高いという。以前弊誌では、依頼者にSteamキーを無償で提供するとすべて転売されたという、国内インディー開発者の声を伝えた(関連記事)。こうした詐欺行為は海外でも横行しているようで、ある開発者が調査を実施。対策法を見出している。


ローグライトアクションゲーム『ScourgeBringer』やシューティングRPG『NeuroVoider』などで知られるFlying Oak Gamesの設立者Thomas Altenburger氏は5月4日、これらの作品のレビューの申し出が大量に届いていることを示す、メールの受信箱の画像を投稿した。どうやら、これらはすべてSteamキーをかすめ取ろうとする詐欺師からのメールだということのようだ。

Altenburger氏は、どのようにして特定のゲームの開発者の連絡先を割り出しているのか、何人かの詐欺師に尋ねてみたという。その調査結果によると、詐欺師らは主にSteam上にある各ゲームのサポートページから、開発者のメールアドレスを取得していることが判明したそうだ。サポートページには、ユーザーが販売元・開発元によるサポートを受けるための連絡先として、メールアドレスが記載されていることが多い。

このサポートページは、URLにあるappidの数値を書き換えるだけで、別のゲームのページを参照できる。appidはSteamで配信されるゲームごとに割り振られており、ID自体は公開情報である。つまり詐欺師はBotを使ってappidを収集し、サポートのURLを書き換えて効率的に開発元のメールアドレスを取得して、詐欺メールを大量送信していたそうだ。


Altenburger氏率いるFlying Oak Gamesの経験上、Steamのサポートページ経由で連絡してくるユーザーはゼロだという。そこで同氏は、詐欺メールに悩む開発者に対し、サポートページにはメールアドレスを記載しないことを推奨。あるいは、詐欺師専用のメールアドレスを用意して記載しておくと良いとしている。

サポートページには、自らのサポート用ウェブサイトなどのURLを記載しておくこともできるため、メールアドレスを記載しなくても、実際にサポートを必要とするユーザーが困ることはない。ただ、詐欺師のBotがそうしたURL情報を参照し、ウェブサイトにアクセスしてメールアドレスを取得しようとする可能性もある。

その場合の対策としてAltenburger氏は、ウェブサイトに偽のメールアドレスを記載しておく手法を示している。Botは、ページ内で最初に記載されたメールアドレスを取得する傾向にあるそうで、偽のメールアドレスによる“罠”を先に仕掛けておき、その後に正しいサポート用アドレスを記載しておくというわけだ。HTMLをいじって、偽のメールアドレスが見えないように隠しておけば、一般のユーザーが混乱することもない。


また、正規のメールアドレスには「[email protected]〜」や「[email protected]〜」といった、ありきたりなアドレス名を使用しないといった対策も呼びかけられている。Altenburger氏は、これらの対策を施すことで、詐欺師を100%捕捉することが可能だと主張している。

ただし、Steamのサポートページにメールアドレスを記載していたことがある場合は、のちに削除しても、その作品については引き続き詐欺メールが届くことがあるという。詐欺師らのあいだで、過去に取得したメールアドレスが共有されているためだそうだ。とはいえ、同氏の対策法は簡単な作業で効果が見込める様子。詐欺メールに辟易している開発者の方は、試してみる価値があるだろう。

Pocket
reddit にシェア
LINEで送る