1. HOME
  2. ブログ
  3. 人気のゲームエンジン「Godot」の悪用で、17,000台以上のデバイスへのマルウェア感染

人気のゲームエンジン「Godot」の悪用で、17,000台以上のデバイスへのマルウェア感染

Godotで開発されたゲームをプレイしている120万人以上のユーザーが、攻撃の対象となる可能性

チェック・ポイント・ソフトウェア・テクノロジーズ(以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(以下CPR)は、ゲームエンジン「Godot(ゴドー)」を悪用した新たなサイバー攻撃を確認した。

主なハイライト:

  • CPRは、オープンソースのゲームエンジンとして人気が高い「Godot」を使用した新たな攻撃の手口を発見した。この手法では、悪意のあるコマンドを実行したり、マルウェアを配布したりすることが可能で、多くの場合、検出を免れる。
  • この革新的な手法により、サイバー犯罪者はWindows、macOS、Linux、Android、iOSなど、様々なプラットフォーム上のデバイスを侵害することが可能になる。
  • マルウェアをサービスとして提供するGitHubのネットワーク、Stargazers Ghost Networkがこの悪意のあるコードを配布しており、わずか3カ月で17,000台以上のデバイスに感染させている。
  • Godotで開発されたゲームをプレイしている120万人以上のユーザーが、攻撃の対象となる可能性がある。攻撃者は正規のGodotの実行ファイルを悪用し、Modやその他のダウンロードコンテンツを通じて有害なプログラムを読み込ませることで、デバイスを感染させる。

進化し続けるサイバー脅威の中で、サイバー犯罪者たちは、より多くのデバイスに感染を広げて、サイバーセキュリティシステムの検知を回避するため、常に新たな手口を編み出している。CPRの最近の調査により、ゲームエンジンのスクリプト機能を標的とした新たな攻撃手法が発見された。オープンソースの人気ゲームエンジンであるGodot Engineが悪用され、GodLoaderと呼ばれる悪意のあるスクリプトを実行してマルウェアを配布した結果、17,000台以上のデバイスが感染した。この新手の攻撃手法により、攻撃者は認証情報を窃取しランサムウェアを配布することが可能となり、Godotで開発されたゲームを利用する120万人のユーザーに重大なリスクをもたらしている。

攻撃者がGodot Engineをどのように悪用しているのか、マルウェアがどのように配布されているのか、そしてGodotで開発されたゲームのプレイヤーにさらなる感染が広がる可能性については以下のとおりである。

ゲームエンジン「Godot」について知る

Godot Engineは、その柔軟性と包括的なツールセットで高く評価されているオープンソースのゲーム開発プラットフォームである。2Dと3D、両方のゲーム開発が可能で、完成したゲームはWindows、macOS、Linux、Android、iOS、HTLM5など、様々なプラットフォーム上で動作するように設計されている。ユーザーフレンドリーなインターフェースと、Pythonに似たGDScriptと呼ばれるスクリプト言語を採用しており、経験を問わず、あらゆる開発者が活用できる環境を提供している。また、2,700人以上のコントリビューターと8万人以上のソーシャルメディアのフォロワーを持つ活発なコミュニティの存在は、Godotが広く支持され、手厚いサポート体制が整っていることを示している。しかし、このGodotの普及に伴い、サイバー犯罪者による攻撃が増加している。

GodLoaderを用いた攻撃手法

攻撃者たちは、Godotのスクリプト機能を悪用して、GodLoaderと呼ばれるマルウェアを作り出した。このマルウェアの特徴は、従来のセキュリティ対策をすり抜けることが可能な点である。Godotの特性を利用することで、Windows、Linux、macOSなど、様々なOS上で動作する悪意のあるプログラムを簡単に展開でき、Android端末も攻撃対象として狙われている。さらに、GDScriptの単純な仕様と、Godotが様々なOSに統合できる特性を組み合わせることで、攻撃者は従来の検知手法を簡単に回避することが可能になっている。2024年6月29日以降、この悪意のあるGodLoaderを利用した新たな手法により、多くのウイルス対策ソフトによる検出を回避して、4カ月足らずの間に17,000台以上のデバイスが感染したことが報告されている。

攻撃のメカニズム

Godot Engineの脆弱性は、スクリプトやシーンなどのゲームアセットを配布用にまとめた.pckファイルの仕組みに関連している。これらのファイルが読み込まれる際、悪意のあるGDScriptがゲームエンジンに組み込まれたコールバック関数を通じて実行される可能性がある。攻撃者はこの仕組みを悪用して、ユーザーに気付かれることなく、デバイスに新たな不正プログラムを密かにダウンロードしたり、遠隔から危険なプログラムを実行したりすることができる。GDScriptは高度なプログラミング機能を備えた言語。そのため攻撃者は、サンドボックスや仮想マシンの検知を回避したり、遠隔からプログラムを実行したりするなど、様々な手法でマルウェアの存在を隠し続けることができる。現在は主にWindowsが攻撃の対象となっているが、God Engineは複数のOSに対応しているため、他のシステムも同様の危険にさらされる可能性がある。

GodLoaderの拡散

GodLoaderはStargazers Ghost Networkを活用している。これは、一見正当なGitHubリポジトリを通じてマルウェアを配布する手法を採用している、洗練されたDaaS(ディストリビューション・アズ・ア・サービス)である。2024年9月から10月にかけて、GodLoaderは200のリポジトリを通じて配布され、225を超えるStargazers Ghostの偽装アカウントがこれらの不正なリポジトリに「星」を付けることで、意図的にリポジトリの評価を上げていた。このように信頼できるリポジトリを装うことで、開発者やゲーマーを騙して被害に遭わせる手口を使用している。

このリポジトリは、主にゲーム開発者とゲーマーをターゲットとして、4回に分けて段階的に配布され、公開された。

開発者とゲーマーへの影響

この新たな脅威がもたらす影響は深刻である。開発者は、Godot Engineのようなオープンソースのプラットフォームを使用してゲーム開発を行うことが多いため、気づかないうちに有害なコードをプロジェクトに組み込んでしまう高い可能性に直面している。そしてゲーマーにとっても、改ざんされたツールで作成された可能性のあるゲームをダウンロードしてインストールするリスクが高まっている。

さらに、この攻撃の背後にいる脅威アクターは、Stargazers Ghost Networkを使用してGodLoaderを配信しており、その活動は高度な手法で大きな成果を上げている。このネットワークは、オープンソースや正規のソフトウェアリポジトリに対する信頼を悪用し、マルウェアを目立たないように配布する。実際に使われている手口は、正規の信頼できるアプリケーションやツールになりすまし、ユーザーを巧みに誘導するというもの。ユーザーは安全なソフトウェアだと信じてダウンロードしてしまい、結果として被害に遭ってしまう。この手法により、マルウェアは短期間で広範囲に広がり、数千人ものユーザーが被害を受けることになる。

標的を絞ったマルウェア配布戦略と、検知を逃れるための巧妙な手法を用いることで、感染率は大幅に上昇している。このマルウェアは複数のプラットフォームに対応しており、様々なOSを狙うことができる適応性の高さから、サイバー犯罪者にとって強力な武器となっている。その結果、攻撃者は異なる種類のデバイス上に効率的にマルウェアを展開でき、その攻撃の範囲と効果を拡大することに成功している。

サイバーセキュリティの強化:GodLoaderの脅威とその対策

新たな攻撃の手口であるGodLoaderは、サイバー攻撃がより巧妙で高度なものへと進化していることを示している。こうした脅威のリスクを減らすためには、OSやアプリケーションを定期的にアップデートし、セキュリティ更新プログラムを必ず適用することが不可欠である。特に見知らぬ送信元からの予期せぬメールやリンクには十分注意を払う必要がある。また、組織全体でサイバーセキュリティへの意識を高め、常に警戒心を持って行動することが重要である。セキュリティに関する疑問や懸念がある場合は、専門家に相談することで、問題に適切に対応するための貴重な知見やサポートを得ることができる。

チェック・ポイントのThreat EmulationHarmony Endpointは、ここで説明したような攻撃やマルウェアを含む、多様な攻撃手法、ファイルの種類、オペレーティングシステムに対する保護を提供している。Threat Emulationは、エンドユーザーのネットワークへの侵入を防ぐため、ファイルを事前に評価して不正な活動を検出し、未知の脅威やゼロデイ脆弱性を効果的に発見する。さらに、リアルタイムでファイル分析を行うHarmony Endpointと組み合わせることで、Threat Emulationは各ファイルを評価し、元のファイルが詳細な検査を行う間にユーザーが安全なバージョンに素早くアクセスできるようにする。このプロアクティブな対策により、安全なコンテンツへの迅速なアクセスを提供してセキュリティを強化するだけでなく、潜在的な脅威を体系的に特定して対処し、ネットワークの完全性を維持する。

CPRが公開しているレポートで、このマルウェアの詳細な仕組みや感染経路、検知回避の手法についてさらに詳しく解説している。

出典:PRTimes チェック・ポイント・リサーチ、人気のゲームエンジン「Godot」の悪用で、17,000台以上のデバイスへのマルウェア感染を確認

関連記事

人気コーナー「サイバーセキュリティー四方山話」が電子書籍で登場!!