マルウェアが再び襲来。Steamのセキュリティの甘さが心配になってきた

Steamは、少なくともそうあるべき姿ではあるが、ある種の壁に囲まれた庭園のような存在だ。AppleのiPhone向けApp Storeや各種コンソールゲームストアと同様に、Steamに掲載されているアイテムは、必ずしも良質とは限らないものの、安全であることが保証されている。暗黙のうちにValveのお墨付きを得ていると言えるだろう。しかし、最近Steamゲームに本格的なマルウェアが隠されていたという事例がいくつかあり、その輝きは薄れつつある。

2月には、Steamのリスティングに盗まれたアセットを含む無料プレイゲームが突然現れ、ダウンロードしたユーザーにマルウェアを拡散させ、ウイルス対策ソフトを起動させ、MicrosoftとSteamのログイン情報を盗み出したとみられています。BleepingComputerは、その数週間後に同様の事件を報告しています。無料デモ版（チェック済み）のリスティングには、別のゲームからコピーされたアセット（チェック済み）が含まれており、スパイウェア（トリプルチェック）がインストールされていたようです。

Valveによってストアから削除される前に「Sniper: Phantom's Resolution」と名付けられていた新しいリストには、興味深い点があります。Steamの配布を通じて無料デモを提供する代わりに（そう、Steamに参加する最大の目的はこれです）、説明文ではプレイヤー志望者にGitHubからデモをダウンロードするよう指示していました。リンクをクリックするとダウンロードページが開き、CookieインターセプターとNode.jsスクリプトが露骨にインストールされ、Windowsのセキュリティを回避して個人情報を外部に送信することが意図されているようです。GitHubページと関連アカウントも完全に削除されました。

PCゲームの人気はかつてないほど高まっており、Steamはピーク時には4,000万人以上の同時ログインプレイヤーを擁する、事実上のプラットフォームのゲートキーパーとなっています。また、Steamは非常に巨大なシステムで、昨年だけでも約2万本の新作ゲームが追加されました。そのため、Steamストアはマルウェアを拡散しようとする者にとって魅力的な標的であると同時に、簡単に入り込める場所でもあります。

さて、Valveがセキュリティ対策を講じていることは間違いありません。そうしないのは愚かなことです。2023年には、開発者側とユーザー側の両方でSteam Guard認証システムを強化しました。そして、「GitHubでデモをダウンロードする」という賭けは、Steamサーバーに偽のインストーラーファイルをアップロードして自動セキュリティシステムにフラグ付けされるのを避けるためだったに違いありません。

しかし、ValveはGoogleやAppleとは異なり、2021年にはSteamの従業員数は100人未満と報告されていました。Steam Deckを動かすOSも広く含まれるようになったため、今ではかなり増えているかもしれませんが、監視すべきユーザー、ソフトウェア、アップデートの数は膨大です。

正直に言うと、Steam のダウンロードも、インターネットでソフトウェアをダウンロードする時と同じように（少なくともそうあるべきですが）、慎重に扱うべき時が来たと思います。信頼できる Microsoft のサイトにダウンロードリンクがあれば、おそらく問題ありません。しかし、聞いたこともない会社からの無料デモ版が届いたらどうでしょう？ 事前に少し調べるか、安全なサンドボックスで試すことをお勧めします。

Steamからのダウンロードはすべてそのような精査が必要だと言っているわけではありません。長年プレイしているゲームをアップデートする場合や、実績のある開発元のゲームをプリロードする場合は、ほぼ確実に安全です。誰も必死のマルウェア攻撃で良いものを危険にさらすことはありませんから。しかし、新しい開発元による無料ゲームやデモ版を見つけた場合、特にストアページでコピー＆ペーストされたアセットを使用しているように見える場合は、インストールする前に少し確認した方が良いでしょう。

著者: Michael Crider、PCWorld スタッフライター