アカウント窃取といえば、通常はパスワードを失う程度の話です。しかしこの攻撃では、ハッカーがゲームそのものを丸ごと持ち去っていきます。
Robloxで数百万本ものゲームを開発する開発者たちが404 Mediaに語ったところによると、攻撃者は被害者に一つのファイルを実行させることで侵入に成功したといいます。その後、数時間のうちに自分たちのグループ、ゲーム、そしてRobux(プラットフォーム内通貨)の残高が何者かのアカウントに移ってしまうのを、開発者たちはただ見ていることしかできませんでした。複数のケースでは、報道関係者が取材のため運営に連絡するまで、Robloxのサポートはゲームの返還に応じなかったといいます。
「ビーミング」から全面的な乗っ取りへ
以前のRobloxへの攻撃は、機会主義的なものが主流でした。「ビーマー」と呼ばれる攻撃者は個人プレイヤーを狙い、レアなアイテムやアカウントを盗んでは転売していました。しかし今、そのターゲットは変化しています。攻撃の矛先は開発者のアカウントへと移り、狙われるのはゲームそのものとなっています。
Ioannis Matziaris氏が404 Mediaに語ったところでは、20歳の息子2人が5年をかけて「The Shadow Network」というRobloxゲームを作り上げたといいます。今年4月、攻撃者が兄弟の一人に近づき、仕事の話を持ちかけてあるファイルを実行させました。それはマルウェアでした。攻撃者はゲームの制御権、グループのRobloxアカウント、そしてRobuxの残高を奪い去りました。
別の開発者であるJovan Rai氏も、同じ「プロジェクトマネージャー職」の勧誘を受けました。この時、攻撃者はMatziaris兄弟の会社であるCheesy Studiosになりすまし、信頼性を演出していました。当時15歳だったRai氏は、自分のゲームから1日約10,000 Robux(約38ドル)を稼いでいました。しかし、メディアが注目するまで、彼はRobloxサポートを通じたゲームの取り戻しに30日以上を費やすことになりました。
窃盗を支えるマルウェアの手口
開発者のMohamed Kaparoza氏は、攻撃の仕組みをこう説明しています。攻撃者はDiscordで接触し、プロジェクトマネージャーの役割をちらつかせながら、「robase」というPythonパッケージのインストールを求めてきました。データベースツールだという説明でした。インストール直後、彼はPCとスマートフォン両方でRobloxからログアウトされました。Discordアカウントも同時に奪われ、二段階認証の設定とパスキーも変更されていました。
これはパスワードではなく、セッショントークンを盗む手口です。情報窃取マルウェア(インフォスティーラー)が認証済みのブラウザセッションを盗み出すと、攻撃者はすでに認証されたセッションを再利用できるため、二要素認証(2FA)などのセキュリティ対策を迂回できてしまうケースが多くあります。
この手法自体は目新しいものではありません。2025年1月には、Robloxプレイヤーにベータテストへの参加を持ちかける類似キャンペーンを当メディアも報じています。配布された「インストーラー」の実態はインフォスティーラーで、Discord・Steamのセッション情報や暗号資産ウォレットの情報を盗み取るよう設計されていました。
開発者が取れる対策
Robloxでゲームを開発している方には、地味ではありますが、主に行動面での対策をお勧めします。
- Discordで突然届く仕事の勧誘には慎重に対応してください。見知らぬ相手から「データベースツール」やカスタムインストーラー、あるいは何らかのファイルの実行を求められても、絶対に実行しないでください。
- 見慣れないソフトウェアをテストする必要がある場合は、RobloxやDiscord、GitHubなど重要なアカウントにサインインしているデバイスではなく、仮想マシンなどの隔離された環境で行うようにしてください。
- Robloxのアクティブなセッションやサインイン済みデバイスを定期的に確認し、利用可能な場合はRobloxの「強化保護」機能を有効にしてください。セッション窃取マルウェアへの対策にはなりませんが、他の多くの形態のアカウント侵害から身を守る助けになります。
- 最悪の事態が起きた場合は、できる限り早くすべてを記録してください。メッセージ、スクリーンショット、アカウントの変更履歴、サポートへの問い合わせ記録など、復旧プロセスで役立つ情報を手元に保存しておきましょう。
- リアルタイム保護機能を備えたセキュリティソフトを使用してください。Malwarebytes Premiumは、インフォスティーラーやその他のマルウェアがアカウントに侵入する前に検出・ブロックすることができます。
