Check Point Researchが2025年6月18日に公表した調査によると、2025年3月からMinecraftユーザーを標的とした大規模マルウェア攻撃が発生している。
攻撃者はStargazers Ghost Networkと呼ばれる配信サービスを利用し、GitHubにフォークやコピーを含む約500の悪意のあるリポジトリを設置した。
これらのリポジトリは人気のチートツールであるOringoとTaunahiに偽装したMinecraft MODを配布している。
約70のアカウントが700のスターを生成し、リポジトリを正規のものに見せかけた。
マルウェアはJavaで開発された多段階攻撃を実行し、最終的に.NET情報スティーラーを展開する。
被害者のデバイスから認証情報、暗号通貨ウォレット、ブラウザデータ、Discord・Minecraftトークンなどを窃取し、Discordウェブフック経由で攻撃者に送信する。
研究者は1,500台以上のデバイスが感染したと推定している。
攻撃者はロシア語話者と見られ、パッケージ名「me.baikal.club」やロシア語のアーティファクトが確認されている。
From:
1,500+ Minecraft Players Infected by Java Malware Masquerading as Game Mods on GitHub
【編集部解説】
この事案は、単なるマルウェア攻撃を超えた、現代のサイバー犯罪の構造的変化を示す重要な事例です。
Distribution as a Service(DaaS)の台頭
今回の攻撃で注目すべきは、Stargazers Ghost Networkという「配信サービス」の存在です。これは従来の個人ハッカーによる単発的な攻撃とは異なり、マルウェア配信を専門とするサービス事業者が登場していることを意味します。2024年7月の調査では、この組織は年間約100,000ドルの収益を上げており、サイバー犯罪の産業化が進んでいることが分かります。
ゲーミングコミュニティの脆弱性
Minecraftが標的となった背景には、月間2億人以上のアクティブプレイヤーという巨大な利用者基盤があります。特に100万人以上がMOD作成に積極的に参加しており、この巨大なMODエコシステムが攻撃者にとって理想的なターゲットとなっています。
技術的な巧妙さ
この攻撃の技術的特徴は、Javaランタイムの存在確認やアンチVM機能など、セキュリティ研究者の解析を回避する仕組みにあります。さらに、PastebinをCommand & Control(C&C)サーバーの代替として使用し、具体的にはIPアドレス「147.45.79.104」をBase64エンコード形式で保存することで、従来の検知手法を巧みに回避しています。
Minecraft Forge MODの悪用
攻撃者はMinecraft Forge MODの正規の構造を悪用し、Main-Classアトリビュートを意図的に省略することで、コマンドラインからの直接実行を防いでいます。パッケージ名「me.baikal.club」は、ロシア最深の湖であるバイカル湖を参照しており、攻撃者の地理的背景を示唆しています。
オープンソースプラットフォームの悪用
GitHubという正規のプラットフォームを悪用することで、攻撃者は信頼性の高い配信チャネルを確保しました。約500のリポジトリと70のアカウントによる700のスターという規模は、組織的な運営体制を示しています。
長期的な影響
この事案は、ゲーミング業界全体にセキュリティ対策の見直しを迫るものです。特に、MODエコシステムを持つゲームプラットフォームは、配信プロセスの安全性確保が急務となります。また、若年層向けのサイバーセキュリティ教育の重要性も浮き彫りになりました。
規制への示唆
DaaSモデルの拡大は、従来の個人犯罪者を対象とした法執行の限界を示しています。国際的な組織犯罪として扱う必要があり、プラットフォーム事業者の責任範囲についても議論が必要でしょう。
【用語解説】
Distribution as a Service(DaaS)
マルウェア配信を専門とするサービス事業。従来の個人ハッカーによる単発攻撃とは異なり、組織的にマルウェア配信インフラを提供する。
Java Archive(JAR)
Javaアプリケーションやライブラリを配布するためのファイル形式。Minecraftの多くのMODがこの形式で配布されている。
アンチVM・アンチ解析技術
仮想環境やセキュリティ解析ツールを検出し、マルウェアの動作を停止させる回避技術。研究者による解析を困難にする。
Command & Control(C&C)サーバー
マルウェアが感染後に通信する攻撃者が制御するサーバー。指令の受信や盗取データの送信に使用される。
情報スティーラー(Infostealer)
感染したシステムから認証情報、ファイル、システム情報などを窃取する種類のマルウェア。
Minecraft Forge
Minecraftの最も人気の高いMOD開発プラットフォーム。MOD作成者が使用する標準的なフレームワーク。
Discord Webhook
Discordチャンネルに外部からメッセージを送信する機能。攻撃者が盗取データの送信に悪用する。
MOD(Modification)
ゲームの機能や外観を変更・追加するユーザー作成のプログラム。Minecraftでは非常に人気が高い。
【参考リンク】
Check Point Research(外部)
Check Point社の脅威研究部門。世界的なサイバーセキュリティ脅威の調査・分析を行う
GitHub(外部)
Microsoft傘下の世界最大のソースコード管理プラットフォーム
Minecraft公式サイト(外部)
Microsoft傘下のMojang Studiosが開発・運営する世界的人気ゲーム
Minecraft Forge(外部)
Minecraft MOD開発の標準的なプラットフォーム
Discord(外部)
ゲーマー向けに開発されたコミュニケーションプラットフォーム
Telegram(外部)
エンドツーエンド暗号化機能を持つメッセージングアプリ
【参考記事】
Malware Disguised as Minecraft Mods Target Gamers(外部)
Check Point Research公式による詳細技術レポート
Minecraft cheat tools may actually contain malware(外部)
The Registerによる技術的観点からの解説
‘Stargazers’ use fake Minecraft mods to steal player passwords(外部)
BleepingComputerによる包括的な攻撃分析
Fake Minecraft Mods Deliver Data-Stealing Malware to Players(外部)
多段階攻撃チェーンの詳細技術解説
Thousands of GitHub accounts are being used to spread malware(外部)
Stargazers Ghost Networkの初回発見報告(2024年7月)
【編集部後記】
個人のハッカーではなく、年間10万ドルの収益を上げる組織的なサービス事業者が存在するという事実は、私たちが想像していた以上に脅威が高度化していることを物語っています。
今回のMinecraftマルウェア事案を見て、私たちが普段何気なく利用しているオープンソースプラットフォームの安全性について、改めて考えさせられました。
ゲームを楽しむ若いプレイヤーたちが、知らず知らずのうちに国際的なサイバー犯罪組織の標的になっているという構図は、テクノロジーの光と影を象徴的に表しているように感じます。
読者の皆さんにとって、この記事がデジタルセキュリティについて考えるきっかけとなれば幸いです。
