Cities: Skylines II 人気MODのマルウェア感染事例と対策の全記録
【概要】
2024年10月31日 Cities: Skylines IIの人気MOD「Traffic」において深刻なセキュリティ問題が発覚しました。
外部の攻撃者がMODの更新機能を悪用し悪意のあるDLLファイルを配信した可能性が報告されています。
本記事では公式発表の全文とコミュニティからの報告、そして具体的な対策について詳しく解説します。
【公式発表全文翻訳】
引用元:Important Update Regarding Traffic Mod重要なお知らせ:Cities: Skylines II プレイヤーの皆様へ
Cities: Skylines IIの「Traffic」MODにおいてセキュリティ上の問題が発生した可能性があります。
月曜日の夜遅く何者かがモッドの更新をプッシュし、悪意のある.dllファイルが含まれていたと考えられます。
このファイルはすでに削除され、2024年10月31日15:35 CET時点の現行バージョンは安全にダウンロードして使用できます。
ただし月曜日から現在までの間にMODが同期され、そのMODを使用してゲームをプレイした場合は、悪意のあるファイルに感染している可能性があります。
この.dllファイルの性質を特定する作業を進めており、詳細が分かり次第お知らせいたします。
その間システムの安全を確保するため、以下の手順を可能な限り早急に実施してください。
- TrafficMODでプレイしておらずサブスクライブやダウンロードもしていない場合、システムへのリスクはなく特別な対応は不要です。
- TrafficMODを所持しているが、月曜日から今日までの間にCities: Skylines 2をプレイしていない場合は、通常通りモッドを同期させれば悪意のあるファイルは自動的に削除されます。
- 念のため Windows Defenderなどのマルウェア対策ソフトでシステムをスキャンしてください。
影響を受けたバージョンでプレイした場合はローカルファイルを確認してください。
悪意のあるファイルがインストールされている場合 以下の場所にあります
%localappdata%low\Colossal Order\Cities Skylines II\.cache\Mods\mods_subscribed\の中の80095_13フォルダ。
悪意のあるファイルが含まれる可能性があるのは80095_13フォルダのみです。
このフォルダが見つからない場合、異常なバージョンのMODは使用していません。
このフォルダを見つけた場合は、ウイルス対策ソフトかマルウェア対策ソフトを使用して隔離・削除し、ドライブの完全スキャンを実行してください。予防措置として、パスワードの変更をお勧めします。
安全かつ確実にモッドを楽しんでいただけるよう、以下の対策を進めています
Paradox Modsにアップロードされた全ファイルを確認し、他のMODに予期せぬ更新がないか調査します。
MODの製作者に連絡を取り、アカウントの安全確保に向けた推奨手順について協議しました。
Trafficモッドは安全なバージョンに更新されており、バージョンv.0.2.4をプレイしている方は安全なバージョンを使用しています。
Paradox Modsは更新されMOD製作者が自身で行っていない変更があった場合、速やかに通知を受け取れるようになります。
Paradoxのコミュニティの中心にあるのは、創造的なゲームコンテンツの共有です。
今後も皆様が安全にMODを探索できるよう努めてまいります。
重要な注意点としてアカウント情報やパスワードは誰とも共有しないでください。
当社が直接パスワードや個人情報を尋ねることは決してありません。
2024年11月1日更新
「Traffic」modに追加された悪意のあるファイルの性質を特定する作業を継続中です。
原則としてParadox modsにアップロードされるすべてのmodは、一般的な予防措置としてウイルススキャンを実施してきました。
私たちは今後の問題に対してプラットフォームの安全性を確保するため懸命に取り組んでいます。実施済みの対策
最初の警告以降、コミュニティの安全を確保するため、以下の対策を講じました
- Paradox Modsプラットフォーム上の他のファイルに対して、この悪意のあるファイルを特定するための詳細なスキャンを実施しました。他のmodからは同様のファイルは検出されませんでした。
- 影響を受けたmod「Traffic」の作者と緊密に協力し、アカウントの安全性を確保し作品への更なる改ざんが発生しないよう対応しました。
- 悪意のあるファイルを分析し現在および今後発生する可能性のあるリスクをより良く理解するため、IT専門家チームを配置しました。
現在の状況
現時点では、システムを保護するために、最初の声明で提案した予防措置を引き続き推奨します。
Cities: Skylines IIのプレイは完全に安全で、さらなるリスクにさらされることはありません。
セキュリティ専門家による詳細な分析が完了次第、追加の更新情報を発表する予定です。
【コミュニティからの報告】
このインシデントについて コミュニティからは様々な報告が寄せられています。
特に注目すべき報告として このマルウェアがユーザーアカウント制御(UAC)を介さずにアンチウイルスソフトを無効化する能力を持っていたとされています。
一部のユーザーからは暗号資産が盗まれたという深刻な被害報告もありましたが 現時点で確認された被害は限定的です。
MOD作者は被害者であり PDXのセキュリティシステムに問題があったとする意見が多く見られます。
【実施した対策】
私の場合は以下の対策を実施しました。
- Nortonによる詳細スキャン(10回以上実施)
- トレンドマイクロの無料スキャンによる全体チェック
- Microsoft Safety Scannerによる追加スキャン
- 該当フォルダの存在確認
- ネットワーク接続の監視
- システムの動作観察
- スタートアップアプリケーションの確認
- 重要なパスワードの変更
- Googleアカウント
- メインのSNSアカウント
- その他重要なサービス
【教訓と今後の対策】
このケースから学べる重要な教訓として公式プラットフォームであっても完全な安全性は保証されないという点があります。
MODの導入には細心の注意を払い定期的なセキュリティチェックを実施することが重要です。
また Paradox社は今後MODの更新通知システムを改善しより安全なプラットフォームを提供することを約束しています。
日常的なバックアップの作成や、セキュリティソフトの更新、
パスワードの適切な管理といった基本的な対策の重要性も再確認されました。
このような取り組みにより MODを通じたクリエイティブな活動が今後も安全に継続されることを期待しています。
MODの利用は自己責任であることを強く認識し、導入時には十分な注意を払う必要があります。
一番はMOD無くても遊べるゲームになることなのですけどね。
追記:2024/11/4更新 Cities: Skylines IIの「Traffic」モッドにおけるマルウェアの疑いに関する追加情報
週末にかけて当社の専門家と他のDFIRチームがファイルの調査を行った結果、
当初のマルウェアの疑いが正しかったと考えています。
現時点ではその目的を100%確認することはできませんが
このファイルは脆弱なシステム上の暗号資産ウォレット、
特にExodusウォレットを標的にするよう設計されたものだと考えられます。
これが確認されるか否かに関わらずこのファイルには十分な不審な動作が見られるため有害なものとして扱う必要があります。
.dllファイルを最初に特定して以来、72のセキュリティベンダーのうち30社が現在スキャンでこれをマルウェアとして検出しています。
一般的な予防措置としてアンチウイルス/アンチマルウェアソフトウェアを更新してください。
Paradoxモッドにアップロードされるすべてのモッドは、一般的な予防措置としてウイルススキャンを実施しています。
新しい情報が入り次第、引き続き更新情報を共有させていただきます。ご協力ありがとうございます。
と、言うことで、今回はここまでとなります。
※画像はクリックでオリジナルサイズ
※このページでは、Paradox,Colossal Orderが権利を所有する画像を利用(引用)しております。当該画像の転載・配布は禁止いたします。