Steamを運営するValveは10月11日、Steamにおける配信タイトルのアップデート時に、SMSを使った認証が必要となるセキュリティ強化を実施すると発表した。この変更は太平洋時間の10月24日から施行予定だという。
今回Valveが発表したのは、Steamに向けてゲームなどを配信する開発者向けのセキュリティ強化施策だ。発表によれば、SMS認証が必要となるのはゲームの新バージョン(ビルド)の更新時と、開発アカウントへのユーザー追加時だ。
まず、ビルド更新時については、「default」ブランチの更新時にSMS認証が必要となる。このdefaultブランチとは、ふだんSteamユーザーが特別な意識をせずゲームをダウンロードした際に配信される、基本となるゲームのファイルバージョンとなる。対して、テスターなど限定的なユーザーに配信されるのが主なベータブランチの更新については、SMS認証は必要ないとのこと。そしてSteamworksパートナーグループへのユーザー招待時にも、SMS認証が必要となる。
こうした一連の施策は、開発者アカウントが乗っ取られるようなことがあった際の被害を抑止するのが目的だろう。たとえば、マルウェアなどがアップデートを装ってゲームに混入されたり、悪意のあるユーザーアカウントが開発グループに追加されるの防止するといった効果が見込めそうだ。
今回の変更に関連して、実際にアカウントを乗っ取られた開発者がいたとの報告もあがっている。ゲーム市場調査エージェンシーGameDiscoverCoのSimon Carless氏は、開発者に向けたValveからの連絡と見られる文章をXに投稿。アカウント乗っ取りを受けた開発者に向けて、「攻撃者によってマルウェアが混入されたビルドがアップロードされた可能性がある」と伝える内容となっている。こちらはSteamDBからの引用とされている。
上述のCarless氏のツイートには、同警告文を受け取った開発者だとして、Benoît Freslon氏がリプライを投じている。そちらによれば、Freslon氏は「トークングラバー」などと呼ばれるマルウェアの被害にあい、実際にさまざまなアカウントを乗っ取られていたという。ただし、ゲームファイルにマルウェアが混入されたかについては「乗っ取り被害に遭う直前に、ゲームをリリースしていた」と証言、正当な更新だったとしている。
ただし、その一件のみが今回のSMS認証追加のきっかけではないようだ。本件を伝えたPC Gamerに向けて、Valveは一連の対応は事実であると認めつつコメント。「Steam利用開発者に向けての、手慣れた攻撃が増加傾向にある」と伝えている。そうした傾向も踏まえて、一般ユーザーが危険に晒されることを防ぐためのSMS認証追加なのだろう。
なお、今回の発表でValveは「defaultブランチの更新といった手続きには、どうしても携帯電話などSMSを受信できる端末が必要となる」と伝えている。一部開発者からはリリースプロセスの煩雑化や端末準備についての懸念も寄せられているようだ。
Steamの開発者向けプラットフォームSteamworksにおけるセキュリティ強化は、太平洋時間(PT)の10月24日から施行予定だ。
