ハッカーが今やRobloxのゲーム全体を乗っ取る
ハッカーがマルウェアを用いて Roblox の開発者アカウントを乗っ取り、ゲーム全体と資産を奪取する新たな手口が確認され、プラットフォームのセキュリティ体制に警鐘を鳴らしている。
キーポイント
ゲーム全体の乗っ取りという新手法
従来のアイテム盗難に加え、ハッカーが開発者アカウントを奪い、ゲーム自体を別のグループへ移転・再公開する組織的な手口が横行している。
社会的エンジニアリングとマルウェアの併用
開発者の家族や従業員に対して偽の求人を提示し、マルウェアを実行させることでアカウント権限を奪う手口が確認されている。
プラットフォーム側の初期対応の不備
被害者が Roblox サポートに連絡しても当初は返答がなく、メディアからの取材要請を受けて初めて復旧措置が取られた事例がある。
Roblox のセキュリティ対策と限界
同社はフィッシングや認証攻撃を防ぐための「Enhanced Protection」などの仕組みを強化しているが、ユーザーが誤って悪意のあるソフトウェアを実行した場合のリスクは完全には排除できないとしている。
開発者を装った社会的詐欺による侵害
複数の被害者が、ゲームプロジェクトマネージャーとしての雇用を偽称した攻撃者から「robase」という Python パッケージやファイルの実行を求められ、アカウントと所有権を奪われた。
メディアの介入による対応の変化
Roblox はメディアからの問い合わせ前に被害者のゲーム返還に応じなかったが、取材後に状況を確認し、検証可能なケースでは所有者権限を回復する方針を示した。
影響分析・編集コメントを表示
影響分析
この事件は、ユーザー生成コンテンツ(UGC)プラットフォームにおけるセキュリティリスクの質的変化を示しており、単なるアカウント盗難から「知的財産そのものの奪取」へと脅威が高度化したことを示しています。開発者コミュニティへの信頼揺らぎや、プラットフォーム運営側の対応プロセスの遅延が露呈したことで、今後のセキュリティ対策強化とサポート体制の見直しが急務となります。
編集コメント
ゲーム開発者が生計を立てるビジネス環境において、マルウェアによる「作品そのもの」の奪取は極めて深刻なインシデントです。プラットフォーム運営側がメディア介入を待たずに迅速に対応できる体制構築が求められます。
imageハッカーたちは長年、Roblox のアカウントを標的にしてプレイヤーの貴重なアイテムを盗んできました。これらは時には数万ドルにも及ぶ非常に現実的な価値を持つものです。しかし、それだけでは一部のハッカーには物足りなかったようです。現在、ハッカーたちは Roblox の開発者アカウントを乗っ取り、ビデオゲームやデジタルワールド全体の所有権を奪っています。
Roblox 上で他人がプレイするためのゲームを作成し、時にはそれを生業としている人々である複数の Roblox 開発者が、404 Media にこの出来事が自分たちに起こっていると語りました。複数のケースにおいて、開発者たちは、404 Media がコメントのために Roblox に連絡するまで、Roblox のサポートは彼らにゲームを取り戻すための助けをしなかったと述べています。
Ioannis Matziaris 氏は、彼の 20 歳の二人の息子が「The Shadow Network」という名前のゲームを 12,000 人以上のメンバーとともに 5 年間かけて構築したと話しています。4 月、ある人物がその一人である Christos に近づき、仕事を紹介して特定のファイルを実行させるよう説得しました。それは実際にはマルウェアでした。
「数時間以内に、彼らは私たちの Roblox グループ全体の所有権を奪い、主要なゲームを彼らが作成した新しいグループに移転し、Robux を盗みました」と Matziaris 氏は語りました。彼は家族が Roblox のサポートに連絡し、Roblox に DMCA 削除要請(DMCA takedown request)を出したが、何の返答も得られなかったと述べています。
Roblox におけるハッキングについて、他に何かご存知ですか?ぜひお聞かせください。業務用ではないデバイスから、Signal で joseph.404 までメッセージを送るか、joseph@404media.co までメールをお送りいただければ、安全にお話しできます。
「これは単なる『ビーム』行為ではありません」とマツィアリス氏は語り、ハッカーが犠牲者を「ビーム」してアイテムを盗む行為について言及しました。「これは組織的なグループであり、ゲームを窃取し、再公開し、無防備な開発者を集めて、窃盗された作品の上に新たな構築を行わせているのです」。
Roblox は多くの人にとって単なるゲーム以上のものです。それはビジネスです。Roblox 社がプラットフォーム自体を維持している一方で、実質的には誰でもその上にゲームを作成できます。これらのゲームの中には『Grow a Garden』のように大規模にバイラル(爆発的に拡散)するものもあり、これは単に Roblox 上で非常に人気のあるゲームというだけでなく、それ自体が巨大なビデオゲームとなっています。その結果、これらのゲームの開発者は、ゲーム内取引を通じて収益化を図ります。一部の Roblox 開発者は数百万ドルを稼ぎ、専用のスタジオを開設することさえあります。
ハッカーたちがゲームを何に使おうとしていたのかは完全には明らかではありません。単に Robux(Roblox の通貨)を盗むだけなのか、それともその人気を利用して収益化しようとしたのか。しかし、なぜハッカーがゲームを自分たちのために乗っ取ろうとするのか、その理由はおわかりいただけるでしょう。マツィアリス氏によると、ハッキング後、Roblox は家族のゲームに対する所有権主張を拒否しました。「アカウントが侵害されたことにより、グループ所有権が移転したという証拠はない」という理由からです。
404 Media がコメントのために Roblox に連絡した際、同社は立場を変えました。「この特定の incident を聞き、大変心を痛めており、ゲームを所有者に復元しました」と、同社は声明で述べています。Roblox はさらに、「フィッシングやクレデンシャルスタッフィングのような認証ポイント攻撃を排除するために設計された、2 段階認証の最も安全なバージョンである『Enhanced Protection』を含む、複数のセキュリティ対策を講じている」と付け加えました。また、『Account Session Protection』はすべてのユーザーにデフォルトで有効化されており、特定のデバイスとセッションを紐付けることでウェブセッションを保護する役割を果たしています。「残念ながら、これらの方法ではアカウント盗難のリスクを完全に排除することはできず、特に悪意のある行為者がユーザーに自身のデバイス上でマルウェアを実行させたり、信頼できないコードを実行させたりした場合です。私たちは引き続き、こうした事象を防ぐ新たな方法を模索しており、未知の送信元からのリンクをクリックしたり、何らかのファイルをダウンロードしたりしないよう、セキュリティ上のベストプラクティスに従うことをユーザーに積極的に呼びかけています。」
Matziaris さんの家族だけが影響を受けたわけではありません。別の開発者である Mohamed Kaparoza 氏は 404 Media に、「Discord で、『ゲームのプロジェクトマネージャーとして雇いたい』と名乗る個人から連絡を受けた後、ハッキングされました」と語りました。「会話の中で、彼らは私に『robase』という Python パッケージのインストールを求めました。これは彼らのデータベース/プロジェクトツールの一部であると説明していました。」
「インストール直後、PC とスマホの両方で Roblox アカウントからログアウトされました。また、ほぼ同じ時期に Discord アカウントも乗っ取られたことに気づきました。その後、許可なく 2 段階認証とパスキーが変更され、私のゲームやグループが別のユーザーに移管されました。この出来事の前には、新しい場所やデバイスからのログインに関する通知は一切受け取りませんでした」と彼は付け加えました。Kaparoza 氏によると、Roblox はまだ彼のゲームを返還していないそうです。
もう一人の開発者である Jovan Rai 氏は、プロジェクトマネージャーの役職を提案され、ファイルの実行を求められたと語っています。皮肉なことに、今回は攻撃者が Cheesy Studios を名乗り、Matziaris 兄弟が所有する『The Shadow Network』というゲームの開発に関わっていると主張しました。ハッカーたちは Rai 氏のゲーム『Overcoding Overseers』の所有権を盗みました。
「このゲームは毎日約 10,000 Robux を生成しており、同時接続ユーザー数は 1,100 人に達していました。これは私の唯一かつ主要な収入源でした。私は独立してこのゲームを作成した、カナダ出身の 15 歳の未成年者です」と Rai 氏は語りました。
Rai 氏は 404 Media に、「Roblox のサポートと 30 日以上戦い続けています」と話しました。Roblox は 404 Media がコメントを求めて連絡した後にのみ、彼のゲームを復元しました。
Kaparoza 氏と Rai 氏の事例の詳細を 404 Media が伝えた際、Roblox は声明で「Roblox のサポートチームはすべての主張を検査し、それが検証できれば所有権を返還します」と述べています。
原文を表示
imageHackers have long targeted Roblox accounts to steal a player’s valuable items, which can sometimes be worth many tens of thousands of very real dollars. But that wasn’t enough for some. Now, hackers are taking over Roblox developer accounts and stealing ownership of entire video games and digital worlds.
Multiple Roblox developers—that is, people who make games for others to play on the Roblox platform, and sometimes make their livelihood doing so—told 404 Media about this happening to them. In multiple cases, the developers said Roblox support did not help them get their games back until 404 Media contacted Roblox for comment.
Ioannis Matziaris said his two 20-year-old sons spent five years building a game called “The Shadow Network” with more than 12,000 members. In April, someone approached Christos, one of the sons, with a job offer and convinced him to run a particular file. It was actually malware.
“Within hours, they had taken ownership of our entire Roblox group, transferred our main game to a new group they created, and stolen our Robux,” Matziaris said. He said the family contacted Roblox support and filed a DMCA takedown request with Roblox and got no response.
Do you know anything else about hacking on Roblox? I would love to hear from you. Using a non-work device, you can message me securely on Signal at joseph.404 or send me an email at joseph@404media.co.
“This isn't just beaming,” Matziaris said, referring to when hackers “beam” or hack a victim to steal their items. “This is an organized group that steals games, republishes them, and recruits unsuspecting developers to build on stolen work.”
Roblox is much more than a game to many people; it is a business. While Roblox the company maintains the Roblox platform itself, essentially anyone can make a game built on top of it. Some of these games go massively viral, like Grow a Garden, which isn’t just a massively popular Roblox game but a huge video game in its own right. In turn, developers of these games monetize their creations with in-game transactions. Some Roblox developers make millions of dollars and open dedicated studios.
It’s not entirely clear what the hackers planned to do with the games, be that just steal the Robux or try to monetize their popularity. But you can see why a hacker might want to commandeer a game for themselves. Matziaris said that after the hack, Roblox denied the family’s claim over the game because “there is no indication that group ownership was transferred due to your account being compromised.”
When 404 Media contacted Roblox for comment, the company changed its stance. “We were troubled to hear of this specific incident and have restored the game to its owner,” the company said in a statement. Roblox added it has “several safety mechanisms in place, including Enhanced Protection, the most secure version of 2-step verification, which is designed to eliminate ‘point-of-authentication’ attacks like phishing and credential stuffing. Account Session Protection is also enabled by default for all users and helps secure web sessions by binding them to a specific device. Unfortunately none of these methods can completely eliminate the risk of account theft, particularly when bad actors convince users to run malicious software on their own devices or execute untrusted code. We continue to work on new ways to prevent these occurrences and actively encourage users to follow security best practices, including not clicking on links or downloading anything from unknown senders.”
Matziaris’s family is not the only person impacted. Mohamed Kaparoza, another developer, told 404 Media he was hacked “after I was contacted through Discord by individuals claiming they wanted to hire me as a project manager for their game. During the conversation, they asked me to install a Python package called ‘robase,’ which they described as part of their database/project tools.”
“Shortly after installing it, I was logged out of my Roblox account on both my PC and Phone. I also noticed my Discord account was compromised around the same time. Afterwards, my 2-step verification and passkey were changed without my permission, and my game/group were transferred to another user. I never received any notification about a login from a new location or device before this happened,” he added. Kaparoza said Roblox has not returned his game.
Jovan Rai, another developer, said they were also offered a project manager role and asked to run a file. Ironically, this time the attackers presented themselves as Cheesy Studios and working on the game The Shadow Network, which belongs to the Matziaris brothers. The hackers stole ownership of Rai’s game, called Overcoding Overseers.
“The game was generating ~10,000 Robux daily, had reached 1,100 concurrent users, and was my primary, only source of income. I am a minor, a 15-year-old Canadian who made this game independently,” Rai said.
Rai told 404 Media he had been “fighting” Roblox support for more than 30 days. Roblox only restored his game after 404 Media contacted Roblox for comment.
When 404 Media relayed details of Kaparoza and Rai’s cases, Roblox said in a statement “The Roblox support team investigates all claims and restores ownership if they can validate it.”
関連記事
Axiosサプライチェーン攻撃は個別標的型ソーシャルエンジニアリングを利用
Axiosチームが、メンテナの一人を直接標的とした巧妙なソーシャルエンジニアリングキャンペーンにより、マルウェアを含む依存関係がリリースされたサプライチェーン攻撃の詳細な事後分析を公開した。
人気AIゲートウェイスタートアップLiteLLM、物議を醸すスタートアップDelveとの関係を解消
AIゲートウェイスタートアップのLiteLLMは、セキュリティ認証を取得したDelveを通じて、先週深刻な認証情報窃取マルウェアの被害を受けた。
ブログの裏側:ランドフィルコアとニューヨーク・ニックスについて
404 Media は、今週の主要記事がどのようにして生まれたかを紹介する「Behind the Blog」シリーズで、疑問を呼ぶ分析や謎の小包、そしてニックス(バスケットボールチーム)に関する話題について語っています。
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み