『Slay the Spire』の人気非公式Mod開発元、マルウェア攻撃を受けたと報告。Modに向けて一時“マルウェア入りアプデ”が配信された恐れ


『Slay the Spire』向けの人気非公式Mod「Downfall」の開発チームは、日本時間12月26日にセキュリティ侵害が発生したことを報告した。同ModはSteamストア上で配信されており、同日に同Modを起動した一部ユーザーにSteamライブラリを通してマルウェアが配信されてしまった恐れがあるという。現時点では開発チームのセキュリティは復旧しており、同Modをプレイしてもマルウェアに感染する危険はないそうだ。


『Slay the Spire』は、Mega Crit Gamesが手がけたデッキ構築ゲームだ。プレイヤーはクラスを選択し、それぞれに用意された固定デッキにてダンジョン攻略を始める。ダンジョン内を進みつつカードを手に入れながら、自分だけのデッキを築き上げ、最深部を目指していく。

セキュリティ侵害を受けたことが報告されたのは本作向けの人気非公式Mod「Downfall」だ。Table 9 Studioが手がけており、Steamストア上で配信されている。今回「Downfall」の公式ニュースにてTable 9 StudioのMichael Mayhem氏により、日本時間12月26日にセキュリティ侵害を受けた旨が明かされた。Steamのアカウントを乗っ取られたといい、Steamライブラリ上で日本時間12月26日午前3時30分から4時30分までの約1時間にわたって「Downfall」の正常なファイルにかわり悪意のあるデータがアップロードされたと見られている。なおTable 9 StudioはすでにSteamアカウントを取り戻しており、現在は「Downfall」を起動しても安全とのこと。

*セキュリティ侵害を受け「自身のアカウントの不審な書き込みを見かけたら教えてほしい」と呼びかけるMayhem氏の投稿

また報告では被害のあった日本時間12月26日の、午前3時30分から4時30分に「Downfall」を起動した一部ユーザーに向けて注意喚起がおこなわれている。対象とされるのは同日同時間に「Downfall」を起動し、Unity library installerのポップアップが表示されたユーザーだ。起動時に同ポップアップが表示されたユーザーはマルウェアに感染している恐れがあるという。

なお同日にはセキュリティ侵害を受けての対応により本Mod起動時に不自然な挙動が生じていたそうだが、注意すべきは上述のポップアップのみとのこと。「.exeが見つかりません」とのエラー表示や、コマンドプロンプトのような画面が表示されるなどの挙動に遭遇していたとしても本件でのマルウェアに感染している心配はないそうだ。あくまでマルウェアに感染した恐れがあるのは上述のUnity library installerのポップアップが表示されたユーザーのみだとされている。

Mayhem氏は報告にて、このマルウェアによってユーザーのPC内のブラウザやDiscordなどのアプリケーション内のパスワードが盗み出される危険性があるとしている。アンチウイルスソフトを導入していれば基本的にはパスワードが攻撃者に向けて自動送信される恐れはないとされているものの、上述のポップアップが表示されたユーザーは重要なパスワードを変更するように推奨されている。特に2段階認証が設定されていないアカウントのパスワードは優先的に変更しておいた方がよいだろう。

なおTable 9 Studioではセキュリティ侵害を受けたハードウェアを完全に除去し、ハードディスクのデータをすべて削除する対応がとられたとのこと。またオンラインセキュリティが強化されたほか、「Downfall」に向けたデータ管理専用のSteamアカウントが作成されたという。同氏は普段から利用され、頻繁にログインされるアカウントはハッキングの危険にさらされやすいとの見解を説明。今回の事態を受けての再発防止策として、ほかに利用しないModデータ管理専用Steamアカウントを設けたかたちのようだ。


Mayhem氏は被害を受けたユーザーに対して深く謝罪。被害を受けたユーザーにはSteamのほか、同氏のDiscordアカウントやメールに向けて連絡してほしいと伝えている。また同氏は「Downfall」のような無料配布コンテンツの有志プロジェクトを狙った今回の攻撃者を強く非難。ユーザーの支えや善意なしでは成り立たないプロジェクトであり、ユーザー側を狙った今回の攻撃に愕然としているそうだ。

今回の「Downfall」の公式ニュースは、今後も情報が入り次第更新されていくとのこと。本稿執筆時点では数回にわたり更新されており、被害を受けたユーザーの報告をもとに、マルウェアによって作成されたと見られる怪しいファイルの特徴やフォルダのパスなども随時共有されている。

なおSteamでは今年2023年10月に、開発者向けのセキュリティ強化策として配信タイトルのアップデート時にSMS認証が必須化された。攻撃者が開発者アカウントを乗っ取り、マルウェアが混入されたアップデートを配信するといった事態を防止する狙いと見られる。海外メディアPC Gamerに向けてSteamの運営元Valveは「Steamを利用する開発者に向けた巧妙な攻撃が増加傾向にある」とセキュリティ強化の背景を伝えていた。

一方で今回の「Downfall」含め、Steamストア上で配信されているMod開発者向けにも上記のようなセキュリティ強化がほどこされたかどうかは不明。いずれにせよゲームの開発元を狙っていた攻撃者が、人気Modにも魔の手を伸ばし始めた可能性がありそうだ。