人気ゾンビサバイバル『Project Zomboid』開発元、「マルウェア入り非公式Modを一斉削除して作成者もBANした」と報告し注意喚起。“消しても遅い”危険Mod

デベロッパーのThe Indie Stoneは4月9日、『Project Zomboid』についてSteamワークショップで公開されていた非公式Modにマルウェアが含まれていたとして、注意喚起をおこなった。

『Project Zomboid』は見下ろし視点のオープンワールド・サバイバルゲームだ。対応プラットフォームはPC（Steam/GOG.com）。本作の舞台となるのは、ゾンビが大量発生したアメリカの架空の都市Knox Countyだ。水道や電気などライフラインが崩壊していくなか、プレイヤーは家々を漁って物資を集め、できるだけ長いあいだ生き残ることを目指す。

そんな本作の開発元であるThe Indie Stoneは4月9日、Modに関する注意喚起をニュースページにて掲載。同スタジオによれば、4月7日のユーザーの報告によって、実行した際に悪意あるコード、いわゆるマルウェアを生成するModが配布されていることが明らかになったという。調査の結果、それらのModには非常に難読化されたコードが含まれており、ゲームフォルダ外にも悪意のあるファイルを生成していたそうだ。

スタジオによると問題のModは14個存在し、すべて同一のユーザーがアップロード。500台から2200台のデバイスにインストールされてしまっていたという。いずれも、ゲームバージョン「Build 42」の脆弱性を悪用したもので、それ以前の「Build 41」では脆弱性の影響は受けてなかったとのこと。

開発元はすでにこのユーザーをBANしており、Steamワークショップから該当のModを削除済み。ただしすでにインストールしてしまっていたユーザーに向けては、Modをアンインストールするだけでは完全な対処にはならないと注意喚起し、適切なセキュリティ対策を講じることを推奨している。該当するModは以下の通り：

– Risk of Rain 2 OST (True MoooZIC)
Workshop ID: 3681934105 – Mod ID: RiskOfRain2Music

– Risk of Rain 1 OST (True MoooZIC)
Workshop ID: 3681810963 – Mod ID: RiskOfRain1Music

– NieR: Automata OST (True MoooZIC)
Workshop ID: 3681765529 – Mod ID: NierAutomataMusic

– Katana ZERO OST (True MoooZIC)
Workshop ID: 3681764942 – Mod ID: KatanaZeroMusic

– Persona 5 OST (True MoooZIC)
Workshop ID: 3681756112 – Mod ID: Persona5Music

– Jujutsu Kaisen S1 OST (True MoooZIC)
Workshop ID: 3681755051 – Mod ID: JujutsuKaisenMusic

– Hotline Miami 2: Wrong Number OST (True MoooZIC)
Workshop ID: 3681719339 – Mod ID: HotlineMiami2Music

– Hotline Miami OST (True MoooZIC)
Workshop ID: 3681718339 – Mod ID: HotlineMiami1Music

– Silent Hill OST (True MoooZIC)
Workshop ID: 3681477980 – Mod ID: SilentHillMusic

– Cowboy Bebop OST (True MoooZIC)
Workshop ID: 3681476976 – Mod ID: CowboyBebopMusic

– Metal Gear Rising: Revengeance Vocal Tracks (True MoooZIC)
Workshop ID: 3681339955 – Mod ID: MGRRevengeanceMusic

– Classic Roblox Music (True MoooZIC)
Workshop ID: 3681335952 – Mod ID: RobloxClassicMusic

– DELTARUNE Ch3+4 Music (True MoooZIC)
Workshop ID: 3681334251 – Mod ID: DeltaruneCh34Music

– Minecraft Alpha+Beta OST (True MoooZIC)
Workshop ID: 3680972796 – Mod ID: MinecraftClassicMusic

それぞれのModの名称には、「True MoooZIC」が含まれていることがわかる。これは『Project Zomboid』で人気の楽曲追加Mod「True Music」から派生したModの名前だ。「True Music」の更新が2年以上止まっている一方で、「True MoooZIC」は最新のBuild 42にまで対応しており、現時点で約5万8000人の登録者数がいる。今回の発表によれば、問題となったマルウェア入りModは「True MoooZIC」の作者によって作成されたものではなく、作者の同意も得ていなかったそうだ。問題のユーザーは人気のあるModのアドオンを無断で作成し、悪意あるファイルの拡散を試みたようである。

人気作のModに絡めてマルウェアを配布する例はたびたび確認されており、たとえば2023年には、デッキ構築ローグライク『Slay the Spire』の非公式Modの開発チームにセキュリティ侵害が発生し、Modのアップデートにて一時悪意あるデータがアップロードされたと発表されていた（関連記事）。また2025年には、『Minecraft』Java版のチート系Modに扮したマルウェアが配布されているとの報告も上がった（関連記事）。さらには、ゲーム自体にそうしたソフトウェアが含まれているケースもあり、今年3月には米国連邦捜査局（FBI）が調査をおこなうことも報じられた（関連記事）。

今回の件を含め、Steamワークショップなど正規のプラットフォームで危険なプログラムが配布される例もあり、完全な対策は困難だ。また今回問題となったModは名前を見る限り、さまざまなゲームのサウンドトラックを無断配布するものだったようで、著作権を侵害するコンテンツであったとみられ、その点でも問題があったといえる。手軽にModを利用可能な正規のプラットフォームであっても、導入するModはユーザー側で精査する必要があることもうかがえる事例だろう。