Steamの自動アップデート機能が悪用され、開発者のアカウントを通じて悪意あるソフトウェアが混入したゲームが少数のユーザーに配信されていたことがわかりました。再発防止のため、Steamを運営するValveは開発者らにSMS認証を義務づけると発表しています。

Steam :: Steamworks Development :: 近日公開:ビルドおよびSteamworksユーザーの管理におけるセキュリティ強化

https://steamcommunity.com/groups/steamworks/announcements/detail/3749866608167579206

Valve adds new security check after attackers compromise Steam accounts of multiple game devs and update their games with malware | PC Gamer

https://www.pcgamer.com/steam-malware-attack-new-security/

Steam enforces SMS verification to curb malware-ridden updates

https://www.bleepingcomputer.com/news/security/steam-enforces-sms-verification-to-curb-malware-ridden-updates/

Valveは2023年9月に、ゲーム開発者用のSteamworksアカウントが8月下旬から9月にかけて侵害を受け、プレイヤーのPCにマルウェアを感染させる悪意あるバージョンがアップロードされたとの警告を、一部のユーザーに通知しました。

該当者に送られたメールには「最近ゲームの開発者のアカウントが侵害され、攻撃者はマルウェアを含む新しいビルドをアップロードしました。この危険なビルドは翌日差し戻されましたが、それまでに該当するゲームをプレイした場合、マルウェアに感染した可能性があります」と書かれています。



アップデートにマルウェアが混入されたゲームのタイトルは伏せられていますが、複数の開発者アカウントが侵害され100人未満のユーザーがその影響を受けたとValveは報告しています。

幸い被害は最小限度でしたが、Valveは2023年10月11日に、セキュリティ強化のためSteamworksアカウントへの電話番号の登録を義務づけることを発表しました。

この変更が適用される2023年10月24日以降、ゲーム開発者はリリース済みのゲームのデフォルトブランチ、つまりほぼ全てのSteamプレイヤーに自動アップデートが配信されるバージョンを更新する際は、SMSによる2要素認証を受けなければならなくなります。

全てのゲーム開発者が携帯電話を持っているとは限りませんが、Valveはそうした開発者に対して「残念ながら、ユーザーの追加やリリース済みのアプリにdefaultブランチを設定する必要がある場合、携帯電話か、またはSMSを受信するための何らかの端末が必要になります」と述べました。

一時的にマルウェアを含むアップデートを配布してしまったゲームのひとつは、無料でプレイ可能な「NanoWar: Cells VS Virus」というゲームです。

Steam:NanoWar: Cells VS Virus

https://store.steampowered.com/app/2215190/NanoWar_Cells_VS_Virus/



2要素認証の導入によりセキュリティは向上しますが、決定的な対策とはいえないと指摘されています。

「NanoWar: Cells VS Virus」の開発者のブノワ・フレズロン氏は「私がこのゲームの開発者です。私のアカウントはすべてトークン奪取マルウェアによってハッキングされました。残念ながら、盗まれたトークンが有効な限り、2FA(2要素認証)は役に立ちません」と述べて、2要素認証を導入していたにもかかわらず被害を防げなかったことを明かしました。