悪意ある攻撃者の標的は、Robloxエコシステム内のレアな仮想アイテムだけにとどまらなくなっています。彼らはゲーム全体を丸ごと奪い取る手口へと作戦を拡大させており、クリエイターたちが長年かけて育ててきたデジタル空間——それも多くの場合、重要な収益源となっているもの——が狙われています。
偽の求人を使った詐欺スキーム
404 Mediaの最新調査により、ハッカーがRobloxゲームを丸ごと乗っ取るという憂慮すべき実態が明らかになりました。複数のゲーム開発者が、アカウント・開発グループ・独自プロジェクトの完全な制御を失ったと報告しています。これらの侵害はいずれも、巧妙に作り込まれた偽の求人情報をきっかけとして発生しています。多くの事例で被害者はRoblox社内サポートの対応が不十分だったと訴えており、調査ジャーナリストが企業に公式コメントを求めて初めてアカウントが回復したケースもありました。
5年間の家族の作品が盗難に
特に胸が痛む事例として、Ioannis Matsiaris氏の家族に起きた出来事があります。彼の20歳の息子2人が、5年間かけて「The Shadow Network」を作り上げてきました。このゲームには12,000人を超えるアクティブプレイヤーによるコミュニティが形成されています。4月、攻撃者は兄弟の一人であるChristosに対し、魅力的な求人の話を持ちかけました。巧みな説得に誘導された彼は、特定のファイルを実行してしまいました。しかし、正規の開発ツールが届く代わりに、悪意あるマルウェアがそのコンピューターに感染していたのです。
Matsiaris氏によると、サイバー犯罪者はほんの数時間でRoblox開発グループ全体を掌握しました。彼らは主要なゲームアーキテクチャを新たに作り出したグループに移管し、蓄積されたRobuxを根こそぎ奪っていきました。家族はすぐにRobloxサポートに申し立て、著作権法に基づくコンテンツ削除を正式に要求しましたが、実質的な返答は得られませんでした。その後Matsiaris氏は、こうした攻撃者は単なる小悪党ではないと断言しています。彼らはゲームを組織的に盗み、盗んだプロジェクトを悪意を持って再公開し、騙された開発者をその乗っ取られた仮想世界で働かせる、高度に組織化された犯罪集団だというのです。
高額な賭けとなるRoblox開発
多くのクリエイターにとって、Robloxはもはや単なる娯楽プラットフォームではありません。独自のゲームを作り、ゲーム内取引で収益化し、成功した知的財産をもとに正規のスタジオを設立できる仕組みが整っており、本格的なビジネスへと発展しています。一部のゲームは莫大なファンを獲得し、クリエイターに数百万ドルの収益をもたらすこともあります。そのため、人気プロジェクトを乗っ取れば、攻撃者は仮想通貨・固定ファン層・確立されたブランド力・継続的な収益源を一度に手に入れることができます。
Robloxの対応と方針転換
最初の侵害発生後、Robloxは当初Matsiaris一家へのゲームの回復を断りました。グループの移転がアカウント侵害によるものだという明確な証拠を確認できないというのが、その理由でした。しかし、メディアの問い合わせを受けて企業の姿勢は一変しました。Robloxは今回の特定の事案に懸念を表明し、最終的にゲームを正当な所有者に返還しています。
同社は、プラットフォーム全体に強固な防御機能を積極的に展開していると主張しています。具体的には、強化された二段階認証とデバイス固有のセッションバインドがその例として挙げられています。Robloxは、これらの対策がフィッシングやブルートフォースによる認証情報への攻撃を効果的に軽減すると述べています。ただし、ユーザーが社会工学的手法によって悪意あるファイルや未検証のコードを自分のデバイスで実行するよう誘導された場合、こうした防御策でもリスクを完全には排除できないことも認めています。
繰り返される詐欺のパターン
別の開発者、Mohamed Caparoz氏も同様の手口に遭遇しました。Discord経由でプロジェクト管理職への招待を受けたと報告しています。採用担当者は、必須の業務ツールだと偽って「robase」というPythonパッケージのインストールを指示してきました。インストール後まもなく、Caparoz氏はデスクトップとモバイル両方のRobloxアカウントから強制的に締め出され、Discordアカウントも同時に侵害されました。攻撃者はその後、二段階認証の設定やログインキーを変更し、ゲームとグループの所有権を不正なユーザーに移管しました。さらに同氏は、新しいデバイスや地域からのログインについて自動通知が一切届かなかったと述べており、その点に強い懸念を示しています。
同じく被害者であるJovan Rai氏も、プロジェクト管理の提案を受けたうえで特定のファイルの実行を求められたと詳述しています。この事例では、攻撃者は「Cheesy Studios」を名乗り、以前Matsiaris兄弟から盗まれた「The Shadow Network」を開発中だと嘘をついていました。ファイルを実行した直後、Rai氏は自身のゲーム「Overcoding Overseers」の制御を瞬時に失いました。
セキュリティにおける人的要因
単独の開発者で15歳のRai氏によると、そのプロジェクトは1日あたり約10,000 Robuxを稼ぎ出しており、同時接続プレイヤーは最大1,100人に達し、彼の唯一の収入源でもありました。Robloxサポートへの支援依頼に30日以上を費やしましたが、セキュリティの専門家が直接企業に働きかけて初めてプロジェクトは返還されました。
Caparoz氏とRai氏に関する問い合わせに対し、Robloxはサポート体制がすべての申し立てを丁寧に審査し、苦情の正当性が確認された場合には所有権を回復させると改めて表明しました。これらの衝撃的な事例は、パスワードの流出がもはやプラットフォームのクリエイターへの主要な脅威ではないことを如実に示しています。現在最大の危険は、信頼関係の悪用・偽の求人情報・そして標準的な開発ツールを装った未検証ファイルを実行してしまうという習慣から生まれています。
翻訳元: https://meterpreter.org/hackers-hijacking-roblox-games/
