「Apex Legends」の世界大会でハッキング被害が発生 ～一般プレイヤーが取るべきセキュリティ対策は？

「Apex Legends」で衝撃的なハッキング被害が発生

　先週、Electronic ArtsのFPS「Apex Legends」の公式大会において、プレイ中の選手にチート能力が付与されるという事件が起きた。プレイ中に無理やりチート状態にさせられるというセンセーショナルな内容で、ゲームメディアだけでなく一般向けのニュースにも取り上げられた。

　いったい何があったのか、本稿を執筆する3月25日時点でわかっていることを確認するとともに、一般のプレイヤーである我々は対策として何をすべきかを考えたい。

チート付与の発生以降、各所の対応が飛び交う

　事件が起きたのは、「Apex Legends」の世界大会「APEX Legends Global Series」の、北米地域の決勝大会。試合中の選手の画面に、突然いくつかのウインドウが表示され、すぐに消えた。射撃が自動で命中するチートを付与するプログラムが実行されており、異変に気付いた選手はゲームプレイを中断した。その時の様子は動画にも収められている。

MULTI BILLION DOLLAR ESPORT BTWWpic.twitter.com/e1B9lfDt3C

— DZ_Genburten (@Genburten)March 18, 2024

　この大会は中断、延期となり、今のところ新たな日程は決まっていない。しかしこれ以外の大会については、予定を若干後ろ倒ししつつも開催するようだ。

Here are the latest updates for upcoming ALGS competitions:

We’ve adjusted the Challenger Circuit schedule. Now Challenger Circuit #3 will be moved to April 6-8 and Challenger Circuit #4 will be pushed to April 13-15.

The Pro League Qualifiers will remain on April 19-21.

We…

— Apex Legends Esports (@PlayApexEsports)March 22, 2024

　なお3月27日時点の最新情報として、延期された大会は一般ユーザーには開催日時を告知せず、またストリーミングによる生中継なしに実施されたという。現在は大会の録画映像が公開されている。さらなる被害を避けるための措置だろう。

We're now live with the (pre-recorded) NA Regional Finals.
Time to see how legends were made.

⭐️https://t.co/chN63VllEcpic.twitter.com/INRvlpa4Hq

— Apex Legends Esports (@PlayApexEsports)March 27, 2024

　今回の不正行為は、第三者が試合中の選手を標的にしたもののようだが、その内容がRCE exploit（リモートコード実行の攻撃）ではないかと見られていることも騒ぎを大きくしている。事実であれば、本作をプレイしている人に対して、外部から任意のプログラムを実行できることになる。悪用すればPCの操作を奪うことさえ可能だ。

　多くのオンラインゲームには、プレイヤーによるチート行為を防ぐプログラムがセットになっている。本作であれば「Easy Anti-Cheat」（EAC）が使われているのだが、このEACにセキュリティホールがあるのではないかという疑いもかけられた。EACは多数のゲームで使用されているため、「EACを使用するゲームを全てアンインストールしろ」という呼びかけも見られた。

　これに対してEACの開発元は「EACにRCEの脆弱性はないと確信している」とコメント。つまり原因は他にあると言いたいのだろう。ただ仮にそれが事実だとしても、チート対策プログラムであるEACを突破してチートプログラムを実行されたことは事実で、開発元としても厄介な事件であることには変わりない。

We have investigated recent reports of a potential RCE issue within Easy Anti-Cheat. At this time - we are confident that there is no RCE vulnerability within EAC being exploited. We will continue to work closely with our partners for any follow up support needed

— Easy Anti-Cheat (@TeddyEAC)March 18, 2024

　さらには海外メディアが今回のチートプログラムを仕込んだ本人に接触し、「開発者に脆弱性を修正させたかった」などと述べたとも報じられている。ただし、その内容がどこまで真実であるかはわからない。

　開発元のRespawn Entertainmentは、セキュリティ対策のアップデートを段階的に実施し、その第1弾を提供したとしている。ただし、このチート行為がどんな手段で行われたものなのかは未だ明らかになっておらず、ゲーム側に問題があるのかどうかも不明なままだ。開発元が対策すると述べている以上、対策の余地があると見てはいるのだろう。

An update from the@PlayApexteam:pic.twitter.com/fuwKYmHFVP

— Respawn (@Respawn)March 20, 2024

　X（旧Twitter）では「チートを付与された」とする動画がいくつも掲載されているが、そのほとんどは特定の武器が強すぎると主張したいプレイヤーや、単に上手なプレイに注目して欲しいだけのプレイヤーによる通常プレイ動画だったりもする。正確な情報を手に入れるのが難しく、悪意のある投稿が紛れ込んでいても見分けづらい状況だ。

　現状を整理すると、本作の開発元はチートや不正アクセスに対する対策を実施中だが、まだ完了はしていない。そして事件の手段は明らかになっていないが、チートおよび不正アクセスに使われた問題点を解決しないことには、その手段や内容を広く周知するわけにはいかない。二次被害が出かねないからだ。

　つまり、今も事件と同様のチート行為が可能な状態だと考えるのが妥当だ。開発元も対策を急いでいるはずなので、どこかのタイミングでは解決となるだろうが、それがいつなのかはまだわからない。

　では、本件に対して我々ができること、すべきことは何だろうか？

100％の安全は得られないが、過度に心配する必要もない

　まず今回の事件において、いったいどこにセキュリティの穴があったのかということだが、状況からしてゲームのどこかにありそうだとは想像できる。それはゲーム本体のプログラムかもしれないし、実は公式に否定されたEACにあるのかもしれない。さらには開発に使われたゲームエンジン「Source Engine」にあるのではという説もある。そうなると危険視されるタイトルは一気に増える。

「RCEの脆弱性はない」と宣言したEACだが、何かしらの対策は迫られるだろう

　セキュリティの問題を起こしうるものはほかにもある。WindowsなどのOSもあれば、ネットワーク機器が持っているファームウェアということもあり得る。ネットワーク上からアクセスしうるソフトウェアは、どこにでもセキュリティ上の脅威は存在する。

　率直に言えば、「100％信じられるセキュリティはどこにもない」と考えるのが正解だと思う。膨大なプログラムの上に成り立つ我々のゲーミング環境が、完全なセキュリティを誇るということはむしろ考えにくい。ハッキングに精通した人（あるいは悪意を持ったクラッカー）が、個人の環境に不正アクセスをはたらこうとすれば、だいたいハッキングできてしまう、と考えておく方がいい。

　では我々も、例えば筆者のような「Apex Legends」ではかなりのライトユーザーでも、すぐさま攻撃対象になるだろうか？　答えはノーだ。なぜなら、筆者を含む大多数のプレイヤーには、攻撃を仕掛けるほどの価値がないからだ。

　今回の事件で狙われたのは、多くの人が観戦する大会でプレイ中の選手だった。またそれ以前にも、有名なプレイヤーが同種のチート付与を受けた事例もあるという。攻撃者が自分の実力を示したいのか、それともただの愉快犯なのかはわからないが、多くの人の目に触れるところに攻撃を仕掛けたのは明らかだ。

　しかし今回のチート行為に使われたプログラムがばら撒かれたりすれば、愉快犯が爆増するリスクはある。自分を倒したプレイヤーに対して、腹いせにチートを仕掛けるといったことも可能になるかもしれない。対策が済むまでの一時的な問題にはなるだろうが、意図的にチートを使うプレイヤーも出てくれば、コミュニティが大混乱に陥ることになる。

　さらに悪いパターンは、今回の攻撃に使われた手法が知れ渡り、多数のユーザーのPCがゾンビPC化することだ。知らないうちにウイルスやトロイの木馬などを仕掛けられ、PC自体を攻撃者に利用されてしまう。こうなると問題はゲーム内のチートにとどまらず、より被害が大きくなってしまう。

当たり前のセキュリティ対策をしっかりやっていくことが重要

　一般のプレイヤーとして、今回の事件に対してできることはいくつかある。まずはゲームやOS、ドライバ類などのアップデートを適切に実施しておくこと。セキュリティ関連を含め、見つかった問題はアップデートで修正されていくので、常に最新の状態にしておくことが安全への第一歩になる。

「Apex Legends」もアップデートされていくので、忘れずに適用する

　もっと過激な対応として、「Apex Legends」やEAC、「Source Engine」を使ったゲームをいったんアンインストールするという方法を推す人もいる。ゲーム本体だけでなく、付随して常駐するプログラムもあるので、それらも含めて削除しておけば、原因がわからない現段階では安心感は増す。

　筆者はそこまでの対応は必要ないとは思っているが、一理あるとも思う。全然遊ばなくなったゲームをそのまま放置すると、アップデートもされず、無駄に常駐するプログラムが増えていく。最近はゲームのダウンロードからインストールまでが自動化され、セーブデータもクラウド保存できるものが多いので、いったん消してもまた入れるのはさほど手間はない。これを機にゲームを整理しておくのはいいアイデアだ。

遊ばなくなったゲームは削除しておく方がいい……とわかってはいるが、思い出のゲームを消したくない気持ちもよくわかる

　またセキュリティの安全性を問うなら、外部からの高度なハッキングよりも、リスト型アカウントハッキングを警戒して欲しい。これは複数のゲームやオンラインサービスで、同じIDとパスワードを流用した際に起こるハッキング被害だ。

　どこかのゲームがハッキング被害を受けるなどして、ユーザーのIDとパスワードのリストが漏洩したとする。このリストにあるIDとパスワードを、全く別のサービスで入力していく。すると両方のサービスで同じIDとパスワードを流用していた人がいたら、その人のアカウントでログインできてしまう。これがリスト型アカウントハッキングである。

　最初に情報漏洩したサービスには確かに問題がある。しかし他のサービスには何ら落ち度はないのに、ハッキングの被害が発生する。あらゆるゲームやサービスで起こりうるハッキングだ。

遼誌「Internet Watch」で「リスト型アカウントハッキング」と検索すると、大きなトラブル事例がどんどん出てくる。とてもメジャーだが根深いハッキング被害だ

　しかも恐ろしいことに、情報が漏洩したという事実が確認されていないこともある。筆者の場合、ゲームやサービスに応じて複数のメールアドレスを使い分けているが、流出したという情報は一切ないのに、特定のメールアドレスにSPAMが届くなどして流出が確認されたという事態が何度か起きている。

　筆者はインターネットやオンラインゲームの使用歴が長く、利用したゲームやサービスの数も非常に多いというのは確かだ。それでも「この手の情報漏洩はよくあること」という前提で利用すべきだと言いたい。絶対の安全を期待する方が危険だし、情報漏洩した後でいくら怒っても、漏洩した情報は回収できない。漏洩しても被害が拡大しないよう、IDとパスワードを使いまわさないことが何より重要だ。

　最近はIDとパスワードのほか、2段階認証やセキュリティトークンを要求するサービスも増えている。これらはIDとパスワードが流出したとしても、第2のセキュリティとして機能してくれる。ログイン時の手間は増えるが、失って困るような重要なサービスであれば設定しておく方がいい。

　あとはウイルス対策などを、当たり前のセキュリティ対策としてしっかりやっていく。ひとまずこれだけやっておけば、一般人であればそう困ったことにはならないはずだ。

　ともかく今回の事件がこれ以上広がらないことを願う。筆者は過去、チートが蔓延しすぎてまともにプレイできなくなったゲームもいくつも目にしてきた。オンラインゲームは常にチートとの戦いだと言っても過言ではない。オンラインゲームを当たり前に遊べているのは、日々チートと戦い続けている開発・運営の方々のおかげであり、彼らへの感謝の気持ちを忘れないようにしたい。

著者プロフィール：石田賀津男（いしだ かつお）

1977年生まれ、滋賀県出身
ゲーム専門誌『GAME Watch』（インプレス）の記者を経てフリージャーナリスト。ゲーム等のエンターテイメントと、PC・スマホ・ネットワーク等のIT系にまたがる分野を中心に幅広く執筆中。1990年代からのオンラインゲーマー。窓の杜では連載『初月100円！ オススメGame Pass作品』、『週末ゲーム』などを執筆。

・著者Webサイト：https://ougi.net/

石田賀津男の『酒の肴にPCゲーム』 記事一覧