「Roblox Mod」を装ったマルウェアの危険性
かつて子供たちはゲームをダウンロードするためにGoogleで「無料のFIFA 2003ダウンロード」と検索したかもしれません。今日、子供たちはRobloxの動作を速くしたり、新しい機能をアンロックしたり、友達が使っているModをインストールしたいと考えます。彼らはYouTubeで「NEW Roblox FPS Booster 2025 – FREE」のような動画を見つけ、Discordリンクをクリックし、ZIPファイルをダウンロードして、「RobloxExecutor.exe」のような実行ファイルをダブルクリックします。
ゲームは起動し、何も問題ないように見えます。しかし、バックグラウンドではるかに深刻な事態が発生しています。その「Mod」は実はModではなく、情報窃取マルウェアだったのです。数秒のうちに、子供のラップトップ上で動作するマルウェアは、保存されていたすべてのブラウザパスワード、セッションクッキー、認証トークンを収集しました。これにはGmail、Discord、Steam、Microsoft、そして企業のVPN、Okta、Slack、GitHubなども含まれる可能性があります。感染はリビングルームで起こり、企業への侵害はそこから始まります。異変に気づくのは、すべてが手遅れになってからでしょう。
ゲーマーが新たな感染経路に:情報窃取マルウェアの標的
これはSFではありません。日々現実で起こっていることです。脅威インテリジェンス研究によると、ゲーマーは情報窃取マルウェアの最も大きく、最も確実な感染源の一つとなっています。最近の分析では、情報窃取マルウェア感染の40%以上が、チート、Mod、クラックされたゲーム、「パフォーマンスブースター」などのゲーム関連ファイルに由来することが判明しました。
攻撃者の視点から見ると、ゲーマーは完璧な標的です。その理由は以下の通りです。
- 大多数が子供またはティーンエイジャーである
- 常にサードパーティファイルをダウンロードする
- 「Modを動作させる」ためにアンチウイルスを無効にする
- DiscordリンクやGitHubリポジトリを信頼する
- ショートカット、チート、バイパスを探す
- ためらいなくランダムな実行可能ファイルを実行する
この行動パターンこそ、情報窃取マルウェアの運営者が求めるものなのです。
現代の「Roblox Mod」感染フローの具体例
典型的なRobloxの情報窃取マルウェア感染は、次のような流れで発生します。
- 子供が「Roblox FPS unlocker」「Roblox executor free」「Roblox script injector」などを検索します。
- YouTube動画、Discordサーバー、GitHubリポジトリ、Google Driveリンクなどにアクセスします。
- 「RobloxMod.zip」のようなファイルをダウンロードします。
- 「install.exe」を実行します。
実際に実行されるのはModではありません。それはLumma、RedLine、Vidar、Raccoonといった、最も一般的な情報窃取マルウェアの一部です。エクスプロイトも脆弱性もハッキングも必要ありません。ユーザー(子供)がファイルをダブルクリックするという、シンプルな心理的メカニズムの悪用なのです。
従業員を標的とする情報窃取マルウェア:企業データへの脅威
従業員が任意のデバイスで感染ファイルをダウンロードすると、情報窃取マルウェアは企業のシングルサインオン(SSO)、VPN認証情報、セッショントークンを収集します。Flareは、企業のアクセス認証情報が販売されていることを監視し、アラートを発信しています。
情報窃取マルウェアの脅威を過大評価しているのか?:実際の調査結果
筆者は当初、この脅威を誇張しているのではないかと考えました。しかし、「Roblox mod free」とGoogleで検索したところ、すぐに悪意のあるファイルが検出されました。ダウンロードを試みると、ファイルは隔離され、VirusTotalのレポートでは複数のベンダーがそのファイルを悪意のあるものと認識していることが示されました。
情報窃取マルウェアが盗み出す情報とその経路
情報窃取マルウェアは、一度実行されると、システムから以下のIDデータを直ちに収集し始めます。
- ブラウザに保存されたパスワード
- セッションクッキー
- 自動入力データ
- OAuthトークン
- Discordトークン
- VPN認証情報
- 仮想通貨ウォレット
- クラウドログイン情報
- SSHキー
- FTP認証情報
これらの情報は、Chrome、Edge、Firefox、Braveなどの主要ブラウザ、Outlookやその他のメールクライアント、パスワードマネージャー、VPNクライアント、開発者ツールなどから収集されます。このプロセス全体は数秒で完了します。収集されたデータは「ステイラーログ」としてパッケージ化され、個人のデジタルスナップショットを表す構造化されたアーカイブとなります。このログは、Telegramチャンネル、ロシアの市場、ダークウェブのマーケットプレイス、犯罪者向けSaaSパネルなどにアップロードされ、販売、転売、索引付けされます。
なぜこれが企業の情報漏洩につながるのか
多くの人は、「会社のラップトップを使って企業ポリシーに従っていれば、子供が会社のコンピューターに何かをダウンロードすることはできないだろう」と考えます。しかし、見落とされがちな部分があります。子供のラップトップは単なるゲームデバイスではありません。また、ゲーマーだけが標的ではありません。攻撃者は、インターネット上のあらゆる「無料」のものを罠にかけます。それは、違法なソフトウェア、偽のAIツール、ブラウザ拡張機能、正規ソフトウェアの偽インストーラー、仮想通貨・Web3ツール、悪意のあるドキュメントやメール添付ファイル、アダルトコンテンツ、偽のシステムユーティリティなど、多岐にわたります。
つまり、インターネット上で無料で実行できるすべてのものが、潜在的なホラーシーンになり得ます。もし上記のいずれかをダウンロードし、かつ以下のいずれかの行動をとった場合:
- 仕事用のメールを確認する
- Slackにアクセスする
- Oktaにログインする
- VPNに接続する
- 多要素認証(MFA)の承認を行う
- GitHubにアクセスする
- 社内ダッシュボードを開く
情報窃取マルウェアは、誰がファイルをクリックしたかを気にしません。それは、マシン上にどのようなIDが存在するかを気にします。したがって、Roblox Mod(または悪意のあるもの)は、企業のSSO認証情報、Active Directoryパスワード、MFAをバイパスするセッションクッキー、社内SaaSプラットフォームへのアクセスなどを盗むことができます。そして、脆弱性を経由するのではなく、レジャーのダウンロードを通じて企業が侵害されるのです。
アンダーグラウンドでのID取引:サイバー犯罪市場の現実
サイバー犯罪のマーケットプレイスでは、脅威アクターは生の情報窃取マルウェアログからステップバイステップのチュートリアル、さらには完全に管理された「Stealer-as-a-Service」まで、あらゆるものを購入できます。例えば、Exodus Stealerへの月額500ドルのアクセスや、生涯アクセス2,000ドルといった広告が見られます(ただし、これらの中には詐欺的な広告も含まれます)。
盗まれたログの典型的な構造には、IPアドレス、ドメイン、クレジットカード情報などが含まれ、さらにシングルサインオン(SSO)、クッキー、トークン、パスワードなども含まれることがあります。アンダーグラウンドのチュートリアルでは、情報窃取マルウェアがサイバー攻撃チェーンの中心的役割を果たすことが示されており、パスワードやクッキーの優れた供給源として教授されています。
これは「子供の問題」ではない――「IDの問題」である
情報窃取マルウェアをこれほど危険にしているのは、マルウェア自体ではなく、「ID」を主要な攻撃対象に変えたという点にあります。攻撃者は、ソフトウェアの脆弱性を悪用したり、エクスプロイトを作成したりする代わりに、認証情報を大規模に収集し、IDをまとめて購入し、正規にログインし、セッショントークンでMFAをバイパスし、通常のユーザー行動に紛れ込みます。
これが、現代の侵害が「有効な認証情報が使用された」という言葉から始まることが増え、情報窃取マルウェアが初期アクセスベクターとしてエクスプロイトに静かに取って代わっている理由です。この新たな脅威について、より深く理解することが、企業のセキュリティ対策において極めて重要となります。