メインコンテンツへスキップ
Steamの「Not Good Guy」に関する調査

プレイヤーより利益優先:『BlockBlasters』の隠蔽工作(Steamスキャンダル、第1部)

私たちは、Steamの隠された真実を暴く連載調査を開始します。その運営の裏にある腐敗、何百万人ものユーザーに被害をもたらしてきた組織的な虐待、搾取、怠慢を明らかにし、世界的な独占企業がゲームプラットフォームをいかにして操作と密かな利益を生み出す仕組みへと変貌させたかを暴いていきます。

『Steam BlockBlasters』に関する調査 ― プレイヤーよりも利益を優先

重要な所見

Steamはあからさまに嘘をつき、犯罪者を庇い、捜査を妨害している。

はじめに:計算ずくの過失による犯罪

2025年8月、世界最大のゲームプラットフォーム「Steam」は、単にセキュリティ侵害を受けただけでなく、自らそれを招いてしまった。一連のシステム上の不具合と重大な過失により、Valveはゲームが ブロックブラスターズ (AppID 3872350) が、甚大な被害をもたらすマルウェア攻撃のトロイの木馬と化してしまった。これは、高度で防ぎようのない攻撃ではなかった。Steamのセキュリティが根本的に欠陥を抱えていたために成功してしまった、まさに典型的なデータ窃取作戦だった。 22日間にわたり、このマルウェアは数十万ドルを盗み出し、仮想通貨ウォレットを空にし、ユーザーアカウントを乗っ取り続けたが、Valveは何も対応しなかった。

真実が明るみに出た際、Valveの対応はユーザーを守るのではなく、自社のイメージを守ることにありました。同社は、「開発者アカウントの不正アクセス」を原因とする、欺瞞に満ちた声明を1通発表しただけでした。これは、責任を転嫁し、法的責任から逃れるためにでっち上げられた、情けない嘘です。本記事では、その嘘を徹底的に暴いていきます。 フォレンジックデータ、時系列分析、そしてValve自身のポリシーを用いて、この事件が単なる対応の不備ではなく、刑事上の過失を意図的に隠蔽したものであることを証明する。

企業の対応の遅れに関する時系列:1日目:マルウェアが公開、3日目:最初の報告、3日目:複数の警告、10日目:1,489,500人の被害者がさらされているにもかかわらず何の措置も取られず、22日目:ようやく削除
企業の対応の遅れに関する時系列:1日目:マルウェアが公開、3日目:最初の報告、3日目:複数の警告、10日目:1,489,500人の被害者がさらされているにもかかわらず何の措置も取られず、22日目:ようやく削除

正体が露見

Steamは露骨に嘘をつき、悪意のあるアプリケーションの開発者である「Valentin Lopes」という実在する開発者の存在を隠蔽している。

22日間にわたる不作為の経緯

Valveには、これを阻止するための22日間の猶予があった。ユーザーからの報告が相次ぎ、プラットフォームのデータにも明らかな問題の兆候が見られていた。彼らの沈黙は、意図的な選択だった。

2025年7月31日

『BlockBlasters』がリリースされました。Steamの審査プロセスにより、クリーンで正規のビルドが承認されました。

2025年8月30日

罠は仕掛けられた。攻撃者たちはパッチビルド19799326を配信する。マルウェアのペイロードを含むこのアップデートは、Steamによって承認され、すべてのプレイヤーに配布される。

2025年9月上旬

最初の被害者たちが警鐘を鳴らす。ユーザーたちは、異常なCPU使用率、不審なネットワークトラフィック、そして 最も深刻な問題として 仮想通貨の盗難を報告するチケットをSteamサポートに殺到させた。しかし、これらのチケットはブラックホールに吸い込まれるように消え、Valveからは無視されてしまった。

2025年9月6日~12日

このデータは警鐘を鳴らしている。SteamDBの公開テレメトリデータによると、プレイヤー数は一桁にまで激減しているにもかかわらず、このゲームは依然として数百台のマシンにインストールされたままであり、ひそかにデータを流出させ続けている。この著しい乖離は、適切な監視システムであれば必ず検知すべきだった危険信号である。

2025年9月21日

コミュニティが動き出した。独立系のセキュリティ研究者が、Telegramを基盤とするこのマルウェアのコマンド&コントロール(C&C)インフラを暴き、ハッカーたちを追い詰めた。

2025年9月22日

その証拠は否定の余地がありません。G DATA CyberDefense AGは、このマルウェアによる多段階の攻撃手法を確認し、侵害の技術的詳細を明らかにした詳細なフォレンジックレポートを公表しました。

攻撃の構造

これは最先端のマルウェアではなかった。ありふれたスクリプトや情報窃取ツールを組み合わせた、粗雑ではあるが効果的な「カクテル」のようなもので、数十億ドル規模のプラットフォームであれば、検出するのは朝飯前だったはずだ。

ステージ1:初期侵入(game2.bat)

最初のペイロードである単純なバッチスクリプトは、IPアドレス、地理位置情報、Steamユーザーの詳細情報を収集するなど、基本的な偵察を行った。その後、パスワードで保護されたZIPファイル(v1.zip)をダウンロードした。これは、単純な自動スキャナーを回避するための定番の手法である。

ステージ2:回避とエスカレーション(VBSローダー)

このマルウェアはVBSスクリプトを使用して、非表示のコマンドウィンドウ内で中核コンポーネントを実行しました。また、Microsoft Defenderの除外リストに自身のディレクトリを追加しました。これは、監視対象のシステムであれば、即座に高優先度のアラートが発生すべき動作です。

ステージ3:データ窃取(Client-built2.exe および Block1.exe)

防御機能が無効化されると、このマルウェアは主要なペイロードを展開しました。それは、持続的なアクセスを可能にするPythonベースのバックドアと、情報窃取型マルウェア「StealC」の亜種です。このマルウェアは、Chrome、Edge、Braveのブラウザデータ、セッショントークン、そして何よりも重要な仮想通貨ウォレットを標的としました。 盗まれたデータはすべて、セキュリティ対策が施されていないHTTPトラフィックを介して、2つのコマンド&コントロール(C&C)サーバーへと送られた。この仮想通貨窃取マルウェアのIOC(侵害指標)により、Steamが組織的な窃取作戦におけるマルウェアの配布経路であることが確認された。

裏切られた信頼

まさに、彼らが信頼していた証明書と、その軽視こそが、彼らが隠蔽している数十件もの盗難事件を招いたのです。これは、プラットフォームへの信頼を大規模に悪用した、典型的なサプライチェーン攻撃と言えます。

侵害の兆候(IOC)

ファイルSHA256分類
game2.bat aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 BAT.Trojan-Stealer.StimBlaster.F
launch1.vbs c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 Script.Malware.BatchRunner.A@IOC
test.vbs b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b Script.Malware.BatchRunner.A@IOC
Client-built2.exe 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a Win64.Backdoor.StimBlaster.L6WGC3
Block1.exe59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9eWin32.Trojan-Stealer.StealC.RSZPXF

嘘を暴く:「アカウントがハッキングされた」というのは完全なでたらめだ

隠蔽工作が明るみに出た

Steamは嘘をつき、被害者を支援する一方で、同社は開発者を審査し、そのコンテンツに最高の信頼認証を与えている。

Valveの「開発者がハッキングされた」という言い訳を、ありのままにこう呼ぼう: 哀れで、簡単に反証できる嘘だ。 これはユーザー層の知性を侮辱するものであり、自らの怠慢による結果を免れるためにでっち上げられた言い訳に過ぎない。Steam自身が定めている必須の手続きをひと目見れば、この幻想はたちまち崩れ去る。

「核心的な欺瞞:デジタル犯罪現場の改ざん」

ここで、Valveによる隠蔽工作は、単なる過失の域を超え、まさに デジタル犯罪現場の改ざん。 はっきり言っておきますが、Valveは感染したゲームを削除したわけではありません。

C2インフラを追跡していたセキュリティ研究者によるフォレンジック証拠と分析により、以下の事実が明確に裏付けられた。すなわち、犯罪者たちが自ら、Steamのサーバーから悪意のあるビルドを削除したのだ。彼らは、Telegram上のコントロールグループが公に暴露された後の9月21日にこの行為を行った。彼らは「焦土作戦」的な撤退を行い、痕跡を隠すために証拠を破壊したのだ。

デジタル犯罪現場への不正操作――PhishDestroyが虫眼鏡で調査する中、Steam/Valveの手が「立ち入り禁止」テープを越えて伸びている
デジタル犯罪現場への不正操作――PhishDestroyが虫眼鏡で調査する中、Steam/Valveの手が「立ち入り禁止」テープを越えて伸びている

Valveが「措置を講じた」と主張しているのは、あからさまなでっち上げだ。Valveは、攻撃者たちが自らの痕跡を消し去るのを待ってからストアページを削除したため、事実上、主要な証拠が破壊されるのを許してしまった。これは損害の最小化ではなく、証拠隠滅だった。彼らはユーザーを守っていたのではなく、犯罪現場をきれいに片付けることで、自分たちの身を守っていたのだ。

企業の無関心がもたらす人的犠牲

Valveの過失は現実世界に影響を及ぼしたが、同社はそれに対して一切の責任を負っていない。

動機:人よりも利益を優先する

なぜValveはこのような事態を許したのだろうか?その動機は単純であると同時に、冷笑的でもある: そちらの方が安かった。

「本格的なセキュリティ体制の見直し」――すべてのビルドに対してサンドボックス環境でのテストを導入し、開発者の認証情報を分離し、有能なセキュリティチームを採用し、透明性レポートを公開すること――には数百万の費用がかかるだろう。被害者への賠償金を支払うことは、多額の費用を伴う先例を作ることになる。

その代わりには? 曖昧で誤解を招くような声明を発表し、ニュースの話題が移るのを待ち、PR上のダメージを最小限に抑えることだった。これは、ユーザーの安全を許容できる犠牲と見なした、計算されたビジネス上の判断だった。

こうした怠慢のパターンは決して新しいものではない。PirateFi(2024年)からChemia(2025年)に至るまで、Valveは警告を繰り返し無視し、マルウェアを自社プラットフォームに侵入させてきた。そして、世間の非難が高まって初めて対応に動いたのだ。BlockBlastersは例外的な事例ではなく、腐敗したセキュリティ文化がもたらした必然的な結果であった。

最終判決:起訴内容通り有罪

事実そのものが物語るようにしましょう。

Valveは単に失敗しただけではありません。嘘をついたのです。自社の過失を隠蔽し、利益を守り、その代償をユーザーに負わせたのです。コミュニティがSteamに寄せた信頼は、取り返しのつかないほど損なわれてしまいました。これは単なるミスではなく、裏切りだったのです。

Mediumで調査報告の全文を読む

これは、当メディアが実施した包括的な連載調査記事からの抜粋です。追加の証拠、時系列、分析を含む完全なレポートをご覧ください。

Mediumで続きを読む →
ニュースに戻る
#Steam#Valve#CryptoDrainer#Malware#GamingSecurity

関連する調査

150以上の偽のMozilla拡張機能:1つのバックエンド、1つのネットワーク
調査
150以上の偽のMozilla拡張機能:1つのバックエンド、1つのネットワーク
$0 Takedowns: How We Disrupt Phishing Infrastructure
調査
$0 Takedowns: How We Disrupt Phishing Infrastructure
NameSilo、Webnic、NiceNIC:詐欺を助長するレジストラ
調査
NameSilo、Webnic、NiceNIC:詐欺を助長するレジストラ
透明性に関するお知らせ。 PhishDestroyは、非営利の独立プロジェクトです。私たちの調査には、詐欺インフラやそれを可能にするサービスに対する固有の偏見が反映されている可能性があります。読者の皆様には、すべての情報を批判的かつ独自に評価していただくようお願いいたします。 当社の透明性に関する声明全文はこちら →