重要な所見
Steamはあからさまに嘘をつき、犯罪者を庇い、捜査を妨害している。
はじめに:計算ずくの過失による犯罪
2025年8月、世界最大のゲームプラットフォーム「Steam」は、単にセキュリティ侵害を受けただけでなく、自らそれを招いてしまった。一連のシステム上の不具合と重大な過失により、Valveはゲームが ブロックブラスターズ (AppID 3872350) が、甚大な被害をもたらすマルウェア攻撃のトロイの木馬と化してしまった。これは、高度で防ぎようのない攻撃ではなかった。Steamのセキュリティが根本的に欠陥を抱えていたために成功してしまった、まさに典型的なデータ窃取作戦だった。 22日間にわたり、このマルウェアは数十万ドルを盗み出し、仮想通貨ウォレットを空にし、ユーザーアカウントを乗っ取り続けたが、Valveは何も対応しなかった。
真実が明るみに出た際、Valveの対応はユーザーを守るのではなく、自社のイメージを守ることにありました。同社は、「開発者アカウントの不正アクセス」を原因とする、欺瞞に満ちた声明を1通発表しただけでした。これは、責任を転嫁し、法的責任から逃れるためにでっち上げられた、情けない嘘です。本記事では、その嘘を徹底的に暴いていきます。 フォレンジックデータ、時系列分析、そしてValve自身のポリシーを用いて、この事件が単なる対応の不備ではなく、刑事上の過失を意図的に隠蔽したものであることを証明する。

正体が露見
Steamは露骨に嘘をつき、悪意のあるアプリケーションの開発者である「Valentin Lopes」という実在する開発者の存在を隠蔽している。
22日間にわたる不作為の経緯
Valveには、これを阻止するための22日間の猶予があった。ユーザーからの報告が相次ぎ、プラットフォームのデータにも明らかな問題の兆候が見られていた。彼らの沈黙は、意図的な選択だった。
『BlockBlasters』がリリースされました。Steamの審査プロセスにより、クリーンで正規のビルドが承認されました。
罠は仕掛けられた。攻撃者たちはパッチビルド19799326を配信する。マルウェアのペイロードを含むこのアップデートは、Steamによって承認され、すべてのプレイヤーに配布される。
最初の被害者たちが警鐘を鳴らす。ユーザーたちは、異常なCPU使用率、不審なネットワークトラフィック、そして 最も深刻な問題として 仮想通貨の盗難を報告するチケットをSteamサポートに殺到させた。しかし、これらのチケットはブラックホールに吸い込まれるように消え、Valveからは無視されてしまった。
このデータは警鐘を鳴らしている。SteamDBの公開テレメトリデータによると、プレイヤー数は一桁にまで激減しているにもかかわらず、このゲームは依然として数百台のマシンにインストールされたままであり、ひそかにデータを流出させ続けている。この著しい乖離は、適切な監視システムであれば必ず検知すべきだった危険信号である。
コミュニティが動き出した。独立系のセキュリティ研究者が、Telegramを基盤とするこのマルウェアのコマンド&コントロール(C&C)インフラを暴き、ハッカーたちを追い詰めた。
その証拠は否定の余地がありません。G DATA CyberDefense AGは、このマルウェアによる多段階の攻撃手法を確認し、侵害の技術的詳細を明らかにした詳細なフォレンジックレポートを公表しました。
攻撃の構造
これは最先端のマルウェアではなかった。ありふれたスクリプトや情報窃取ツールを組み合わせた、粗雑ではあるが効果的な「カクテル」のようなもので、数十億ドル規模のプラットフォームであれば、検出するのは朝飯前だったはずだ。
ステージ1:初期侵入(game2.bat)
最初のペイロードである単純なバッチスクリプトは、IPアドレス、地理位置情報、Steamユーザーの詳細情報を収集するなど、基本的な偵察を行った。その後、パスワードで保護されたZIPファイル(v1.zip)をダウンロードした。これは、単純な自動スキャナーを回避するための定番の手法である。
ステージ2:回避とエスカレーション(VBSローダー)
このマルウェアはVBSスクリプトを使用して、非表示のコマンドウィンドウ内で中核コンポーネントを実行しました。また、Microsoft Defenderの除外リストに自身のディレクトリを追加しました。これは、監視対象のシステムであれば、即座に高優先度のアラートが発生すべき動作です。
ステージ3:データ窃取(Client-built2.exe および Block1.exe)
防御機能が無効化されると、このマルウェアは主要なペイロードを展開しました。それは、持続的なアクセスを可能にするPythonベースのバックドアと、情報窃取型マルウェア「StealC」の亜種です。このマルウェアは、Chrome、Edge、Braveのブラウザデータ、セッショントークン、そして何よりも重要な仮想通貨ウォレットを標的としました。 盗まれたデータはすべて、セキュリティ対策が施されていないHTTPトラフィックを介して、2つのコマンド&コントロール(C&C)サーバーへと送られた。この仮想通貨窃取マルウェアのIOC(侵害指標)により、Steamが組織的な窃取作戦におけるマルウェアの配布経路であることが確認された。
裏切られた信頼
まさに、彼らが信頼していた証明書と、その軽視こそが、彼らが隠蔽している数十件もの盗難事件を招いたのです。これは、プラットフォームへの信頼を大規模に悪用した、典型的なサプライチェーン攻撃と言えます。
侵害の兆候(IOC)
| ファイル | SHA256 | 分類 |
|---|---|---|
game2.bat | aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3
|
BAT.Trojan-Stealer.StimBlaster.F |
launch1.vbs | c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3
|
Script.Malware.BatchRunner.A@IOC |
test.vbs | b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b
|
Script.Malware.BatchRunner.A@IOC |
Client-built2.exe | 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a
|
Win64.Backdoor.StimBlaster.L6WGC3 |
Block1.exe | 59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e | Win32.Trojan-Stealer.StealC.RSZPXF |
嘘を暴く:「アカウントがハッキングされた」というのは完全なでたらめだ
隠蔽工作が明るみに出た
Steamは嘘をつき、被害者を支援する一方で、同社は開発者を審査し、そのコンテンツに最高の信頼認証を与えている。
Valveの「開発者がハッキングされた」という言い訳を、ありのままにこう呼ぼう: 哀れで、簡単に反証できる嘘だ。 これはユーザー層の知性を侮辱するものであり、自らの怠慢による結果を免れるためにでっち上げられた言い訳に過ぎない。Steam自身が定めている必須の手続きをひと目見れば、この幻想はたちまち崩れ去る。
- 「100ドルの壁」と本人確認: Steamでゲームを公開するには、すべての開発者が「Steam Direct」プログラムを経由する必要があります。これには、100ドルの手数料を支払い、「本人確認(KYC)」手続きを完了し、正式な氏名、銀行口座情報、および税務書類を提出することが求められます。 犯人は匿名の正体不明者などではありませんでした。Valve社は、その人物の本人確認済みの身元情報と財務詳細を記録として保持していたのです。このことから、Valve社の不作為は、自社のユーザーよりも本人確認済みのパートナーを保護するという意図的な選択であったと言えます。
- 「22日間の停電」という神話: Steamworksは、開発者がアカウントのセキュリティを確保するための堅牢なツールを提供しています。正当な開発者がアカウントの管理権限を失った場合、「パブリッシャー認証情報の紛失」に関するチケットを提出することができます。このプロセスは迅速に処理されるよう設計されており、パブリッシング権限やビルドは数週間ではなく、数時間以内に凍結されます。 ゲームがマルウェアを拡散している間、開発者が20日以上もアカウントにアクセスできない状態になるという考えは荒唐無稽です。これは、次の2つのシナリオのいずれかを示唆しており、いずれもValveを非難するものです。すなわち、開発者が共犯であったか、あるいはValveが、数十件に及ぶユーザーからの苦情に加え、開発者からの必死のサポートチケットを無視していたかのどちらかです。
- ユーザーからの苦情に対する組織的な放置: 数十人のユーザーから、金銭的被害、マルウェアの動作、アカウントの乗っ取りに関する詳細な報告が寄せられました。これらは漠然とした苦情ではなく、具体的な対応を要する情報でした。 適切なサポート体制であれば、これらを検知し、問題を上層部に報告し、調査が完了するまで24時間以内にアプリページを凍結していたはずです。Valveが22日間もこれを怠ったのは、単なる見落としではなく、意図的な無視という方針に他なりません。
「核心的な欺瞞:デジタル犯罪現場の改ざん」
ここで、Valveによる隠蔽工作は、単なる過失の域を超え、まさに デジタル犯罪現場の改ざん。 はっきり言っておきますが、Valveは感染したゲームを削除したわけではありません。
C2インフラを追跡していたセキュリティ研究者によるフォレンジック証拠と分析により、以下の事実が明確に裏付けられた。すなわち、犯罪者たちが自ら、Steamのサーバーから悪意のあるビルドを削除したのだ。彼らは、Telegram上のコントロールグループが公に暴露された後の9月21日にこの行為を行った。彼らは「焦土作戦」的な撤退を行い、痕跡を隠すために証拠を破壊したのだ。

Valveが「措置を講じた」と主張しているのは、あからさまなでっち上げだ。Valveは、攻撃者たちが自らの痕跡を消し去るのを待ってからストアページを削除したため、事実上、主要な証拠が破壊されるのを許してしまった。これは損害の最小化ではなく、証拠隠滅だった。彼らはユーザーを守っていたのではなく、犯罪現場をきれいに片付けることで、自分たちの身を守っていたのだ。
企業の無関心がもたらす人的犠牲
Valveの過失は現実世界に影響を及ぼしたが、同社はそれに対して一切の責任を負っていない。
- 経済的破綻: 15万米ドル以上が盗まれた(100万米ドルを超えるようだ)。多くの人にとって、これは人生を一変させるほどの金額だった。あるストリーマーは、がん治療のためのチャリティー生配信中に3万2000米ドルを失った。
- 信頼の裏切り: 何百人ものユーザーのアカウントが乗っ取られ、データが盗まれ、システムが感染した。
- 絶対的な静寂: 今日に至るまで、Valveは返金も補償も、そして心からの謝罪も一切行っていない。彼らの定型文による返答は、すべての被害者に対する侮辱であった。
動機:人よりも利益を優先する
なぜValveはこのような事態を許したのだろうか?その動機は単純であると同時に、冷笑的でもある: そちらの方が安かった。
「本格的なセキュリティ体制の見直し」――すべてのビルドに対してサンドボックス環境でのテストを導入し、開発者の認証情報を分離し、有能なセキュリティチームを採用し、透明性レポートを公開すること――には数百万の費用がかかるだろう。被害者への賠償金を支払うことは、多額の費用を伴う先例を作ることになる。
その代わりには? 曖昧で誤解を招くような声明を発表し、ニュースの話題が移るのを待ち、PR上のダメージを最小限に抑えることだった。これは、ユーザーの安全を許容できる犠牲と見なした、計算されたビジネス上の判断だった。
こうした怠慢のパターンは決して新しいものではない。PirateFi(2024年)からChemia(2025年)に至るまで、Valveは警告を繰り返し無視し、マルウェアを自社プラットフォームに侵入させてきた。そして、世間の非難が高まって初めて対応に動いたのだ。BlockBlastersは例外的な事例ではなく、腐敗したセキュリティ文化がもたらした必然的な結果であった。
最終判決:起訴内容通り有罪
事実そのものが物語るようにしましょう。
- 事実: Valveの自動システムが、些細なマルウェアを含むビルドを承認してしまった。
- 事実: Valveのサポートチームは、被害者たちからの直接的な警告を3週間にわたって無視し続けた。
- 事実: Valveは、ハッカー自身が悪意のあるファイルを削除してから初めて対応した。
- 事実: Valveの公式声明は、責任を回避するために意図的に事実を歪曲したものであった。
Valveは単に失敗しただけではありません。嘘をついたのです。自社の過失を隠蔽し、利益を守り、その代償をユーザーに負わせたのです。コミュニティがSteamに寄せた信頼は、取り返しのつかないほど損なわれてしまいました。これは単なるミスではなく、裏切りだったのです。




