人気オンラインFPS「CS：GO」にSteamの招待システムを介してアカウントのパスワードを盗まれる脆弱性が判明

by James Cao

ゲーム販売プラットフォームのSteamを運営するValveが制作・販売を行うオンライン対戦型ファーストパーソン・シューティング(FPS)のCounter-Strike: Global Offensive(CS：GO)で、Steamでのオンラインプレイへの招待システムにSteamアカウントのパスワードが盗まれる脆弱(ぜいじゃく)性が見つかったと報じられました。

CSGO Exploit Allows Hackers to Steal Passwords | Game Rant
https://gamerant.com/csgo-stolen-password-exploit-hackers/

‘Counter Strike’ Bug Allows Hackers to Take Over a PC With a Steam Invite
https://www.vice.com/en/article/dyvgej/counter-strike-bug-allows-hackers-to-take-over-a-pc-with-a-steam-invite

脆弱性を報告しているのはホワイトハッカー集団である「The Secret Club」です。2019年にThe Secret ClubのメンバーであるFlorian氏が、Valve製のゲームエンジンであるSource Engineに影響を与えるリモートコード実行のバグを発見しました。Florian氏が発見したバグを利用すれば、Steamの招待システムを介してユーザーを攻撃することが可能です。

問題の脆弱性は「攻撃者からの招待を受諾することで、ユーザーのSteamアカウントのパスワードが盗まれてしまう」というもので、ユーザーチャットだけではなくコミュニティの招待システムでも実行可能で、攻撃者が一度に大量のアカウントのパスワードを盗む可能性もあるとのこと。

記事作成時点ではCS：GOでのみこの脆弱性が発見されていますが、Florian氏によればSource Engineを利用しているゲームすべてにこの脆弱性が存在する可能性があるとのこと。Valveの人気マルチプレイヤーオンラインバトルアリーナゲーム「Dota 2」のゲームエンジンもSource Engineで、2015年にSource 2 Engineにアップグレードしていることから、Florian氏が発見したバグの影響は非常に大きいとみられます。

by artubr

The Secret Clubはバグ報奨金プラットフォームであるHackerOneを通じてこの問題をValveに報告していますが、Valveからの返信はなく、記事作成時点でも修正は行われていないと述べています。

Florian氏はIT系ニュースサイト・Motherboardのインタビューに対して「Valveは私の報告をほとんど無視しているので、正直に言って非常に失望しています」とコメントしています。MotherboardはValveの広報担当者にもコメントを要求しましたが、応答はなかったとのことです。

なお、Valveは2019年にも、SteamのWindows版で管理者権限を無断で取得できるゼロデイ脆弱性が9600万人以上に影響を与える可能性を指摘されながらも、報告を無視するどころか発見者をバグ報奨金プログラムから追放し、後に謝罪したことが報じられています。

ValveがSteamのゼロデイ脆弱性報告を無視したのは「間違いだった」と全面的に認める - GIGAZINE