チート関連の話題、トラブルには事欠かないことで有名なApex Legendsおよび、Respown社の関連で、また新たなる事件がおこり、他のゲームも危ないんじゃないかと危惧される事態が起こりました。
セキュリティプログラムを提供しているEasy Anti Cheatは、同製品のセキュリティ問題ではないと声明を出していますが、依然として予断を許さない状況です。
クレカ情報などをパソコンに入れていないなら、個人の情報くらい大丈夫な気もしますが、経緯がはっきりするまではApex Legendsを起動するのは止めておいた方が良いのかもしれません。
クレカ情報を盗まれると、同じゲームをいっぱい買わされたりするので……(被害者談)。
事件発生(2024/03/17)
2024年3月17日にあった公式リーグの最中に、参加プレイヤーの「Genburten」氏のゲームクライアントがハッカーに侵入され、ゲーム中に汎用と思われるチートツールのインストール、およびチャットログの操作が行われました。
同氏はすぐにゲームから退室しましたが、そのマッチは無効試合となりました。
続く次のマッチでは、「TSM ImpelialHal」氏が被害にあい、同様の手口でチートツールが無理やり付与されるという事態になります。ゲームを続行した同氏は、ゲーム後にアカウントがBANされました(その後、解除されました)。
一連の行動の振る舞いからして、任意コード実行に該当する手口かと思われます。何らかの手段で第三者がプログラムを実行し、ゲームの動作で意図しない機能を付与したのです。
この連続した犯行を受けて、流石に危ないと思ったのかリーグ運営は、ゲームの続行を延期すると発表しましたが、問題はなぜこのような犯行が発生したのかに焦点は移りました。
一連の犯行を行った人物は先月にも騒動を起こしており、こちらは大量のBOTを送り付けるというゴースティング的な犯行でした。被害にあったのは先にも挙げた「TSM ImpelialHal」氏です。
昨年度はTitanfall2のサーバーがハッキングされたりで、Respown社の界隈はハッカー関連の話題が度々報告に上がっていましたが、いよいよ予断を許さない状況になってきました。
EASY ANTI CHEATが声明を出す(2024/03/19)
これらの事件を受け、同作でセキュリティ外部ツールとして利用されていた「Easy Anti Tool (略:EAC)」は、24年3月18日にXで調査結果を報告。
我々は、Easy Anti-Cheat 内の RCE 問題の可能性に関する最近の報告を調査しました。現時点では、EACに悪用されるRCE脆弱性はないと確信しています。私たちは、必要なサポートのためにパートナーと緊密な連携を続けます。
現時点ではEAC側に任意コードを実行するような大きな脆弱性は確認できないとしており、原因はAPEX LEGENDS側にあるとしています。
短期の調査なので、これが本当かは怪しい部分もありますが、犯人が異様にRespown社の製品を狙っている節はあります。
ちなみにEA社は過去に何度もハッキングの被害にあっており、顧客情報を盗まれたり、Originアカウントのクレカを使って大量のゲームを買わせるなどの事件が起きたことがあります。
私もOriginのハッキング絡みで被害を受けたことがあります。
FIFAというサッカーのゲームを大量に買わされていて、クレカの会社から不正使用じゃないかと問い合わせが来ており、詳しく調べてみたら、EAがハッキングを受けたせいだったという顛末です。当時、同じような被害が続出しており、取りあえずは返金処理になりました。
APEXに緊急アップデート(2024/03/20)
どうやら、Apex側の問題のようであり、緊急パッチが配信されました。細かい内容は不明ですが、複数回に渡って配信されるメンテナンスパッチの第一弾とのこと。
つまり、完全にはセキュリティホールが塞がっていないことを確認しているということで、冷静に考えてみると、全然大丈夫じゃない発言になります。
- 修正箇所が多すぎる
- 修正が難しい
- ゲームクライアントが原因だろうけど修正箇所が分かっていない
――などのパターンが考えられますが、これで第二、第三の事件が起きたら、いよいよEAおよびRespown社の面目丸つぶれというか、ゲームとしても、会社としても終わってしまう危険があるのですが、大丈夫なんでしょうか……。
過去に全米最悪企業に2年連続で選ばれたことがあるEAですから、全然信用が持てないのは私だけだろうか……。
改造ソースエンジンの問題か
当初からApexのクライアントに問題があると予想している方は多かったと思います。なにせApexに使われているゲームエンジン、および基礎設計が古すぎるためです。
根幹のゲームエンジン「ソース」は2004年に初版がリリースされたもので、それをRespown社のエンジニアが独自に近代化改修したのが2014年。Respown社の処女作Titanfallを作るにあたってです。
Titanfallは狭い界隈ではカルト的な人気があったFPSタイトルです。開発チームについては歴史に名前が残るFPS「Call of Duty Modern Warfare」の系譜で、MW2→(独立)→Titanfall→Titanfall2と、ディレクターやチーフエンジニアを初めとした主要メンバーが共通しています。
ある意味で真のCODとも言える対戦FPSがTitanfallシリーズです。
APEX LEGENDSは、そんなTitanfallのスピンオフタイトルであり、新規チームの試験作として開発されました。プログラムの根幹部分、3Dモデル、テクスチャなどはTitanfall本編から流用されており、バトロワブームに乗って、好調なスタートを切ることができました。
しかし、リリース後まもなくからチートの問題が噴出します。
ソースコードを流用した故にTitanfall2から存在したチートが使えてしまう他、EAの対策費用が少なすぎたのだと思います。60人のバトロワと、最大12人のチーム戦では対処すべき人数が異なります。同じエンジンを使っていたTitanfall2でもそこまで酷い状態にはなりませんでしたが、Apexになって被害は指数関数的に増大しました。
Titanfallに使われたValve社のソースエンジンは、初期リリースが2004年だったもので、ざっと20年前のシロモノです。
ブラウン管でプレイするのが普通だった時代、マルチプラットフォームなんて知らない時代に作られたエンジンなのです。2021年にはソースエンジンとSTEAMの連携部分にある脆弱性を利用し、他人のPCを完全に乗っ取ってしまう手法がまで報告されています。
ぶっちゃけ、今回の事件ではこれが丸々使われた可能性すらあります。
ソースエンジンの開発元であるValve社は、後継となるソースエンジン2も開発しており、謹製のゲームには段階的に導入されています。ただし、ソースエンジン1が古すぎる故に、今となってはあり得ないような仕様も多く、エンジンの更新となると、大抵のゲームが作り直しになるらしいです。
特にTitanfallのゲームエンジンは、独自で高フレームレートへの対応、マルチプラットフォームへの対応などを施した改造型なので、尚更にポンと差し替えられるものではありません。また、当時のエンジニアが会社に残っていないという話も聞きます。
最終的には親会社のEAがどれだけ予算を付けるかに掛かっているとは思いますが、対応を間違うと更なる惨事を引き起こす可能性がある予断を許さない状況が続きそうです。
大騒ぎになってますねぇ・・・
リスポーン社かエペのブランドに傷がつくのは避けられなさそうで非常に嫌な事件です。犯人とっ捕まえるかセキュリティ面の強化は急務ですね、流石に何もしないでは済まされなさそう
あとどうでもいいですがチートの話題になると毎回わりとかわいいチーターの画像が張られて和む