かつては貴重なRobloxアイテムの窃取に注力していたハッカーたちが、今やゲームそのものを丸ごと乗っ取るようになっています。
RobloxはRoblox社が運営するサービスですが、ユーザーは自分でゲームを作成・公開することができます。人気ゲームはアイテム課金によって相当な収益を生み出すことができます。中には数百万ドルを稼ぎ出し、そのゲームを中心に専門スタジオを設立した開発者もいます。
複数のRoblox開発者が404 Mediaに対し、ハッカーに自分のゲームを乗っ取られたと証言しています。また、記者がコメントを求めてRobloxに連絡するまで、Robloxのサポートはゲームの取り戻しにほとんど役立たなかったとも述べています。
Ioannis Matziaris氏は、息子が求人オファーに偽装したマルウェアを実行するよう騙された結果、攻撃者が家族のRobloxゲームを乗っ取り、Robloxの仮想通貨であるRobuxを盗んだと語っています。
同氏によると、攻撃者はゲームの乗っ取りと再公開、そして盗んだプロジェクトの開発を継続させるための開発者のリクルートに注力していたといいます。
別の開発者も同様のプロジェクトマネージャー求人の勧誘を受けました。攻撃者はMatziaris兄弟の会社であるCheesy Studiosの担当者を騙っていました。
ファイルを実行した後、その開発者はゲームの所有権を失いました。そのゲームは1日あたり約10,000 Robuxを稼ぎ出し、同時接続ユーザー数1,100人を誇る、開発者の主要な収入源でした。メディアが注目するまで、Robloxサポートを通じたゲームの取り戻しに30日以上を費やしました。
404 MediaがRobloxにコメントを求めて連絡した後、同社はゲームをオーナーに返還しました。声明の中で同社は今回の事件を「懸念している」と表明し、Enhanced ProtectionやAccount Session Protectionといったセキュリティ機能を紹介しました。
Robloxはさらに、ユーザーが悪意のあるソフトウェアを実行したり信頼できないコードを実行するよう誘導された場合、いかなるセキュリティ対策もアカウント盗難のリスクを完全には排除できないと付け加えました。
別の開発者は、攻撃がどのように展開したかを詳しく説明しました。攻撃者はDiscord上でプロジェクトマネージャーの求人を持ちかけ、開発ツールの一部として「robase」というPythonパッケージのインストールを指示したといいます。インストール直後、同開発者はRobloxとDiscordの両アカウントへのアクセスを失いました。
同開発者によると、攻撃者はその後セキュリティ設定を変更し、RobloxゲームとグループのオーナーシップをRobloxを通じて別のユーザーに移転させたといいます。同開発者は、Robloxはいまだゲームを返還していないと述べています。
Steam Workshopで発見された数十種類の悪意ある壁紙
ゲーマーを標的にしたマルウェアキャンペーンはRobloxに限りません。別の調査では、攻撃者がSteam Workshopを悪用して悪意ある壁紙を配布していることが明らかになりました。
Kasperskyは、攻撃者がSteam WorkshopをSteamアカウントの窃取や追加マルウェアへの感染を目的とした悪意ある壁紙の配布に利用していることを発見しました。Steam WorkshopはSteamに組み込まれたサービスで、壁紙、MOD、マップなどのユーザー作成コンテンツを共有するために使われています。
このキャンペーンは2025年末から活動しており、ユーザーがアニメーションデスクトップ壁紙を作成・共有できる人気アプリケーション「Wallpaper Engine」を悪用しています。
研究者らによると、攻撃者は壁紙パッケージ内に悪意あるコードを隠し込み、主に中国とロシアのゲーマーを標的にしていました。
「『アプリケーション壁紙』というコンセプト自体、外部のコードをコンピュータ上で直接実行できるようにするものです。サイバー犯罪者たちはこの特性に目をつけ、こうした壁紙にマルウェアを直接埋め込み始めました」と研究者らは説明しています。
「Wallpaper EngineはコンテンツのシェアリングにSteam Workshopを利用しているため、誰でも壁紙を作成してコミュニティに無料公開できます。当然ながら、このような仕組みは悪意ある行為者を引き寄せます。」
悪意ある壁紙は削除される前にすでに数千回ダウンロードされており、中には数万回に達したものもありました。
研究者らは2つの主要な配布方法を特定しました。一つは悪意ある実行ファイル、DLL、スクリプトなどの形でマルウェアを壁紙パッケージに直接含めるもの、もう一つはパスワードで保護されたアーカイブ内にペイロードを隠すものです。後者の場合、パスワードはファイル名に直接記載されているか、設定ファイルに保存されていました。
ほとんどの場合、ユーザーが壁紙を適用するとマルウェアが自動的に実行されました。
確認された攻撃フロー(出典:Kaspersky)
Kasperskyは、NTRahoricというゲームに偽装した悪意ある壁紙の一つをテストしました。ゲームは正常に起動して疑念を払拭する一方、バックグラウンドではDarkKometバックドアがインストールされていました。また、AggregatorHost.dllというシステムライブラリの改ざん版も展開され、被害者のコンピュータ上でSteamアプリケーションを検索し、アカウントの認証情報の取得を試みました。
Steamは調査で特定された悪意ある壁紙を削除しましたが、研究者らは攻撃者が今後も新たな悪意ある壁紙をアップロードする可能性があると警告しています。
翻訳元: https://www.helpnetsecurity.com/2026/06/18/roblox-game-takeover-malware-attacks/
