マイクラのMODにマルウェアが見つかる。パスワードや住所が盗まれた可能性があるらしい【Minecraft】
UPDATE :
大手MOD配布サイト「Modrinth」プラットフォームで配布されていたMODに悪意のあるソースコードが含まれており、PC内の情報を第三者に送信していたそうです。
この記事では時系列を追って内容を紹介し、被害者になっていないか確認する方法をお伝えします。
目次
影響を受けているか確認する方法
こちらのリンクからダウンロードできる検出ツールを使うことで当該MODがパソコンに含まれていないか確認することができます。
5月2日以降に「Windows borderless」というMODをダウンロードしていなければ、パソコンが今回発表されたウイルスに感染している可能性は無いということができます。
もし検出されてしまった場合は、パソコンに紐づけられている全てのアカウントのパスワードを変更することをお勧めします。
マルウェアをインストールしないためには
信頼できるウェブサイトからMODをダウンロードしましょう。
マインクラフトのMODについて調べていると、2種類の配布サイトを見つけることができるはずです。
1種類目は配布サイトが一度MODを審査し、承認を得たうえで配布しているサイト。
2種類目は第三者がMODを審査することなく、個人がMODを配布するサイト。
今回の事件は前者で起こりましたが、ウイルスをダウンロードする確率を減らすことができるのは前者のサイトを使うことです。
curseforgeやmodrinthといったサイトが2024年現在では有名であり、信用できるmod配布サイトとして紹介されていることが多いです。
想定される被害
当該MODがダウンロードされた数は~372回であり、被害の状況は比較的軽いと思われますが、その内容は重大です。
ほぼ全てのブラウザから、アカウントトークン、パスワード、銀行情報、住所を盗み出し、それを開発者に送信したというものです。
これらの情報が盗まれてしまうと、金銭の不正利用、アカウントの乗っ取り、クレジットカードの不正利用、詐欺に自身のアカウントが使われてしまう恐れがあり、大変危険です。
時系列
4月29日
「Windows Borderless」はマルウェアを含まない状態でModrinthへ評価のために送信されました。
4月30日
「Windows Borderless」はマルウェアを含まない状態でModrinthに承認されました。
5月2日
「Windows Borderless」の新しいバージョンにはパソコンの識別情報がDiscord Webhookに送信されるソースコードが含まれていました。
5月4日-5月6日
この間にアップロードされた全てのバージョンにはマルウェアが含まれており、認証情報やトークンといった個人情報が盗まれました。
5月6日
「Windows Borderless」を使用していたユーザーがModrinthへ自身のDiscordアカウントが乗っ取りの被害にあったことを報告しました。
5月6日
Modrinthの調査によると、「Windows Borderless」に悪意のあるコードが含まれていることが判明し、MODをアップロードしたユーザーの全てのプロジェクトを削除しました。
5月8日
Modrinthのtwitterにて被害状況の告知がありました。
MODのこれから
現在Modrinthはウイルスを含むMODファイルを検知するランチャーを開発中とのこと、これからはより簡単に悪意のあるMODを排除する体制が整うと予想します。
しかし、現在はこのような問題に巻き込まれないためには自身で対策することが必要になります。必ずダウンロードしようとしているファイルを確認することが必要です。
