レトロゲームのファンは、コンソール向けのツールやプラグインを装ったGitHubプロジェクトに注意が必要です。攻撃者は一般的なコンピュータマルウェアをホームブリューソフトウェアに偽装することができ、この手口はアクティブな改造コミュニティを持つレトロプラットフォームであれば、特定のコンソールに限らず有効です。
最近、PlayStation Vitaのオーナーを標的にした事例を確認しました。無料のオーディオツールを装いながら、実際にはWindowsマルウェアをコンピュータ上で実行する偽プロジェクトです。
「EQVita」と名付けられたこのプロジェクトは、一見すると普通のホームブリュープラグインに見えます。整ったREADME、ダウンロードボタン、スクリーンショット、すっきりとしたレイアウトを備えています。しかし、ダウンロードされるファイルにはVita向けのコンテンツは一切含まれておらず、3つのWindowsファイルが入っています。その中の一見無害に見えるテキストファイルは実際には隠しスクリプトであり、実行すると攻撃者のサーバーに密かに接続します。
これは単発の事例ではありません。他の研究者も、AIが生成した説明文で飾り立てた偽GitHubリポジトリを使い、「SmartLoader」と呼ばれるマルウェアを拡散させる攻撃を確認しています。SmartLoaderは、Lumma Stealerのようなパスワードや暗号資産ウォレットを盗むマルウェアをダウンロードさせます。EQVitaのダウンロードファイルも同じ手法を用いており、レトロゲームファンにターゲットを絞って再パッケージ化されています。
以下の比較画像をご覧ください。左側が偽のGitHubリポジトリ、右側が本物です。
バージョン番号にも小さなトリックが仕込まれています。本物のEQVitaはバージョン1.10ですが、偽物は1.3と表示されています。一見すると1.3の方が新しく見えますが、そうではありません。ソフトウェアでは1.10は1.9の後に来るため、本物の方が最新版です。偽物は最新に見える数字を借用しているだけです。
レトロゲーム機に馴染みがなければ、PS Vitaはあまりピンとこないかもしれません。しかし、大きく活発なコミュニティにとっては重要な存在であり、だからこそ攻撃の標的になっています。
個人的な話を少しさせてください。私は約10年前にVita 1000を中古で購入しましたが、今でも快調に動いています。ゲームライブラリが非常に充実していて、常に戻ってくる価値のある作品があるため、ときどき棚から取り出しては遊んでいます。同じ思いを持つ人は決して少なくないはずです。
ソニーがVitaの製造を終了してから何年も経ちますが、ファンたちはエミュレータ、ファイルマネージャー、プラグインなど独自のソフトウェアを開発することで、この機器を生き続けさせています。改造されたVitaはPSPゲームをフルスピードで動かし、SNES、ゲームボーイアドバンス、セガジェネシスといった旧世代システムをエミュレートできます。まさにオールインワンのレトロゲーム機と化すのです。2026年現在もシーンは盛んで、活発な開発者たちが活動し、賞金付きのホームブリューコンテストさえ開催されています。
その需要は価格にも反映されています。2019年以降新品が製造されていないため、動作するVitaはレトロゲーム市場で人気の品となり、過去1年間で主要マーケットプレイスでの中古価格が上昇しています。特に、改造者に珍重されるOLEDモデル(そのファームウェアが優れていることで知られる)の値上がりが最も顕著です。つまり、これまで以上に多くの人が改造目的でVitaを購入しており、インストールするプラグインやツールを探している人も増えているということです。
まさにその熱意を、攻撃者は悪用しています。ホームブリューユーザーはGitHubからファイルをダウンロードし、フォルダに入れて実行することに慣れています。この趣味は個人開発者のコードを信頼することで成り立っています。詐欺師はそれを知っているため、偽の「Vitaプラグイン」は、通常なら実行しないようなものをユーザーに実行させる格好の手段となっています。
詐欺の仕組み
ダウンロードされる EQ_Vita_v1.3.zip には、3つのファイルが含まれています。
Launch.batluajit.exex64.txt
巧妙なのはここからです。luajit.exe はスクリプトを実行する本物の無害なプログラムです。バッチファイルはそれに x64.txt を開くよう指示するだけです。.txt という拡張子にもかかわらず、このファイルはテキストではなく隠しスクリプトであり、LuaJITがそれを実行します。.txt と名付けることで無害に見せかけ、見過ごされやすくしているのです。SmartLoaderキャンペーンでも同じ構成が確認されており、ダウンロードファイルの中で実際に危険なのは偽装されたスクリプトだけで、周囲のファイルはすべて正規のものです。
つまり、ダウンロードファイルの中に単体で危険に見えるものは何もありません。明らかなインストーラーも、不審に見えるアプリも存在せず、あるのは他者のコードを実行するために使われた信頼できるツールだけです。
実際に実行して何が起きるか確認しました。まず、スクリプトはコンピュータの所在地(国)を確認します。次に、意味不明な文字列に変換されたWebアドレスを使って、インターネット上のサーバーに密かに接続してデータを送信します。サーバーはそれに応答しました。
オーディオプラグインがこのような動作をする理由はありません。これはマルウェアの「ローダー」が行う典型的な動作であり、攻撃者のサーバーに接続して指示を受け取り、次のマルウェアを取得します。このキャンペーンでは、その次のマルウェアは通常スティーラーです。暗号資産ウォレット、ブラウザに保存されたパスワード、ログイン情報を探し回る情報窃取型マルウェアです。
Malwarebytesはこの脅威をブロックするため、保護されているユーザーはファイルが実行される前に阻止されます。
偽物を見分けるには
ほとんどのVitaプラグインはVita本体にインストールするもので、VitaShellやAutopluginといったツールを使い、Vita専用のファイル形式(.skprx や .vpk で終わるもの)で提供されます。
インストーラーやファイル転送ツール、ビルドツールなど、シーン内の正規ツールの中にはPC上で動作するものもあります。そのため、Windowsプログラムが含まれていても即座に疑う必要はありません。重要なのは、実行する前に確認することです。
そのツールは有名ですか?広く使われていますか?信頼できるコミュニティソースで推薦されていますか?それとも見慣れないリポジトリでたまたま見つけたものですか?.bat ファイルを使って隠しプログラムをこっそり起動する「プラグイン」は、まさにこのような確認で見つけ出せるものです。
以下の習慣が役に立ちます。
- デバイスに合ったファイルの確認とPCツールの検証。 ほとんどのVitaプラグインはVita用ファイルであり、Windowsプログラムではありません。正規のツールの中にはPC上で動作するものもあるため、
.exeや.batがあっても慌てる必要はありませんが、実行前に信頼性の高い既知のツールであることを確認してください。 - 「今すぐダウンロード」の演出への警戒。 本物のホームブリューREADMEは、同じ開発者コミュニティのユーザー向けに書かれています。このキャンペーンでは、偽リポジトリにAI生成のテキストが使われており、マーケティング文句のような文体が目立ちます。絵文字が多く、親しみやすい言葉遣いで、大きなダウンロードボタンが配置されています。素早くクリックさせようとするプロジェクトは、一度立ち止まって再確認する価値があります。
- 信頼できるソースの利用。 確立されたコミュニティハブや信頼できるソースリストが存在する理由があります。ダウンロード前に必ず確認してください。
- 追加の保護レイヤーの導入。 Malwarebytes Browser Guardは、既知の悪意あるページやダウンロードがあなたの端末に届く前にブロックするのに役立ちます。
既に実行してしまった場合の対処法
EQ_Vita_v1.3.zip をダウンロードして実行してしまった場合、そのコンピュータは侵害されたものとして扱ってください。対処手順は以下の通りです。
- 最新のセキュリティソフトウェアで完全なマルウェアスキャンを実行してください。
- このキャンペーンは情報窃取型マルウェアを配布しているため、別の安全なデバイスから重要なパスワードを変更し、不正ログインがないかアカウントを確認してください。
- そのコンピュータに暗号資産を保管している場合は、別の安全なデバイスを使って資産を移動させ、キーとシードフレーズを更新してください。
- スティーラーは2FAデータも標的にする可能性があるため、二要素認証(2FA)の設定を確認してください。
- 最後に、3つのファイルを削除し、GitHubリポジトリを報告して削除を促してください。
この詐欺が成功する理由
この詐欺が成功するのは、詐欺に見えないからです。ホームブリューユーザーがすでに信頼を置くGitHub上に存在し、正規の無害なツールを悪用します。そして危険な部分を、普通のテキストファイルのように見えるファイルの中に隠しています。これらのトリックは単独では大したものではありませんが、組み合わさることで、ほとんどの人が実際に行うような簡単なチェックをすり抜けてしまいます。
この事例が特に注目に値するのは、狙われた対象です。レトロゲームコミュニティは善意によって成り立っています。古いハードウェアを守り続けるボランティアたちが、自分の作品を無料で共有し、互いのツールを保証し合っています。このキャンペーンが悪用しているのは、まさにその信頼関係です。偽のリポジトリが一つでも潜り込めば、次の本物のプロジェクトへの信頼が少しずつ失われていきます。
最善の防御策は、すでにこれらのコミュニティが持っているものです。信頼できるソースリスト、確立されたwiki、そしてツールを実際に試してレポートしてくれる人たちです。ファイルを実行する前に出所を確認し、何かおかしいと思ったら声を上げてください。その習慣こそが、コミュニティ全体の安全を守るものです。
侵害の痕跡(IOC)
ドメイン
https://github.com/Voistace/EQVita
https://voistace.github.io
IP
85.137.52.21 C2
