研究者がCS:GOにバグを発見、ハッカーがあなたのコンピュータを乗っ取る可能性
世界中でサイバー攻撃が増加しているにもかかわらず、企業がセキュリティインフラにもっと注意を払っていると思いきや、Valve Corporationにおいてはそうではないようです。複数のセキュリティ研究者がValveのCounter-Strike: Global Offensive (CS:GO) ゲーム内に、悪意のある者がユーザーのコンピュータを乗っ取ることを可能にするバグを発見しました。このバグを最初に発見した研究者の一人が2019年に報告したにもかかわらず、Valveは最近の公の抗議が起こるまでその報告を無視していました。この記事では、このセキュリティバグを取り巻く状況について話します。
Counter-Strike: Global Offensive (CS:GO)とは何ですか?
Counter-Strikeは、2つのチームが互いに競い合うマルチプレイヤーの一人称シューティングビデオゲームシリーズです。各チームは5人のプレイヤーで構成され、特定の目的を達成する必要があります。一方のグループはテロリスト(Ts)としてテロ行為を企て、もう一方のグループは対テロリスト(CTs)の役割を持ちます。ほとんどの一人称シューティングゲームと同様に、このゲームはプレイヤーにゲーム内通貨を報酬として与え、それを武器やその他のものに使うことができます。異なるモードがあり、それぞれに異なる目的と特徴があります。
2000年にWindows OSで初めてリリースされたCounter-Strikeは、歴史上最も著名な一人称シューティングゲームの一つに成長しました。macOS、Windows、Linux、PS3、Xbox360で利用可能です。Counter-Strikeシリーズには、Counter-Strike、Condition Zero、Source、Global Offensiveの4つの主要なゲームがあります。スピンオフもありましたが、これら4つのシリーズが多くの人々がこれまでにプレイしてきたものです。
最新リリースは、Valveが開発し2012年8月21日にリリースしたGlobal Offensiveです。約1100万人が毎月ValveのSteamプラットフォームでプレイしています。Counter-Strikeが始まって以来、Cyberathlete Professional League、World Cyber Games、Electronic Sports World Cupなど、いくつかの競技大会に参加しています。Valveは最も権威のあるCounter-Strikeのトーナメントを主催し、「Counter-Strike: Global Offensive Major Championships」と呼んでいます。
研究者がCS:GOのバグを発見
The Secret Clubとして知られるホワイトハットハッカーグループが、Steam上でゲームに参加するための招待をクリックすると、ハッカーがあなたのコンピューティングシステムを乗っ取ることができる新しい脆弱性をCounter-Strike: Global Offensiveゲームで発見しました。Steamの招待システムを使用することで、ハッカーはバグを悪用し、リモートコード実行(RCE)を通じて招待リンクをクリックする人から個人データを盗むことができます。The Secret Clubのメンバーが、Valveが開発した3DゲームエンジンであるSourceでバグを発見しました。Sourceエンジンを使用するゲームはいくつかありますが、Counter-Strike: Global Offensiveを含むこれらのゲームのほとんどはもはやバグが存在しません。残念ながら、Counter-Strike: Global Offensiveのプレイヤーは、このバグがゲーム内にまだ存在することを知って恐怖に震えるでしょう。
The Secret ClubのメンバーであるFlorian (@floesen_ on Twitter)は2年前の2019年に最初にこのバグをValveに報告しましたが、Valveチームはそれを修正するために何もしませんでした。学生研究者であるFlorianは、HackerOneを通じてValveにリモートコード実行の欠陥について自分の懸念を表明したと説明しました。HackerOneは、バグや脆弱性を発見したハッカーがValveのような企業に連絡するために使用できるバグ報奨金プラットフォームです。
フロリアンは、バグを重大なものとして報告したにもかかわらず、Valveチームがそれを修正するための努力をせず、バグに関するスレッドへの返答も遅かったと明かしました。Valveが持つリソースと影響力を考えると、セキュリティ侵害の問題を真剣に受け止めないことは考えられません。The Secret ClubがTwitterで明らかにしたように、Valveがチームのメンバーが報告した他の2つの脆弱性に対しても同じことをしたことから、それがValveの傾向のようです。
Valveは報奨金を支払うが、バグの修正を拒否
FlorianがRCEバグを報告し、Valveがそれを修正しなかったことはもはやニュースではありません。驚くべきことに、Valveは約6ヶ月前にFlorianの報告を認め、報奨金を支払ったにもかかわらず、脆弱性を修正していませんでした。彼は、最後にValveから連絡を受けたのは、報奨金をHackerOneを通じて支払われた6ヶ月前だったと言いました。Valveは、以前にSourceエンジンを使用したゲームで似たような問題を修正したことがあるため、脆弱性の修正に取り組んでいることを彼に保証さえしました。
学生研究者は、Valveがそのゲームを確かに修正したことを確認したと説明しました。FlorianはValveがどのゲームを修正したのか明かさず、声明でその理由を説明しました。「私たちは意図的にそれを言及しなかったのは、人々がゲームのバイナリでパッチを探すことを望まないからです。これは、他のすべての未修正のゲームに対するエクスプロイトを再構築する努力を大幅に減らすだろうからです。」しかし、私たちはValveがなぜCS:GOの脆弱性を約2年間無視することを決定したのか理解していません。
ValveのHackerOneポリシーがバグ報奨金ハンターがエクスプロイトを報告することを防ぐため、Florianはバグに関する詳細なレポートを公開していません。HackerOne上の他のバグ報奨金プログラムは通常、企業が指定された期間(通常は90日または180日)後に修正しない場合、研究者が脆弱性を公開する許可を与えるポリシーに従います。一方、Valveにはそのようなポリシーがありません。
他の研究者がバルブがバグの報告を無視したことを確認
他の研究者たちは、CS:GOのバグが存在することを確認し、Valveがそれに関する報告を無視していると述べています。The Secret ClubのトップメンバーであるCarl Schouは、悪意のある者がCS:GOのバグを利用して、金融情報やその他の認証情報を盗むことができると説明しました。少なくとも他の3人の研究者が、Valveが彼らの報告を無視したと主張しています。彼らは、ユーザーが悪意のあるコミュニティサーバーへの招待を受け入れたときにリモートコード実行の欠陥がどのように機能するかを示す様々なビデオを投稿しています。
Brymko(Twitterで@brymko)、Carl Smith(Twitterで@cffsmith)、そしてSimon Scannell(scannell_simon)は、YouTube上でCS:GOのRCEの欠陥を示す動画を持っています。彼がTwitterにそのエクスプロイトのデモ動画を投稿した後、別の研究者がバグを報告したが、Valveが1年以上その報告を無視したと説明しました。ソフトウェアエンジニアのBien Pham(Twitterで@bienpnn)は、2020年4月2日にValveにそのバグを報告したと言っていますが、会社はそれを無視しました。
Valveがついにバグを修正
2021年4月17日、Florian(Twitterで@floesen_として知られる)はTwitterに次のように投稿しました。「良いニュースです!Valveが私の最近のエクスプロイトを修正し、詳細を公開する許可を与えてくれました。それを受けて、私は詳細な技術的なレポートを作成中で、間もなくリリースする予定です。乞うご期待!」これは素晴らしいニュースですが、Valveの怠慢は、同社がユーザーの個人情報やゲームの完全性を守ることに対して関心がないことを示しています。
Twitterアカウントで、The Secret ClubはValveが修正していない他のいくつかのバグを報告しました。それらには、Team Fortress 2のコミュニティサーバーバグと、CS:GOのRCEバグが2つ含まれています。これらのバグをValveが修正する前に、別の公の抗議が必要になるでしょうか?
Valveのバグを無視する歴史
2019年8月、セキュリティ研究者のVasily Kravetsは、Valveが彼をHackerOneのバグ報奨金プログラムから禁止した後、ValveのSteamプラットフォームにおけるゼロデイエクスプロイトを公開しました。彼は、悪意のあるエンティティが悪用可能なSteamクライアントの欠陥を発見しました。このバグは、特権昇格の脆弱性であり、ValveのSteamがインストールされたWindowsシステム上で、悪意のあるアクターが最も高いアクセス権を持つ任意のプログラムを実行できるようにする可能性がありました。
実際に彼は1つ以上のバグを発見し、2つ目のバグを発見した後にのみ公表しました。最初のバグを発見した後、彼はHackerOne上で報告を提出しましたが、ValveのHackerOneチームはそのバグがセキュリティ問題ではないと考え、報告を拒否しました。その後、彼は2つ目のバグを発見し、報告しようとしましたが、ValveによってHackerOneのバグ報奨金プラットフォームから禁止されました。
ヴァシリー・クラヴェットの最初の発見から45日後、彼はHackerOneによって公開禁止されていたにも関わらず、報告書を公開しました。しかし、彼の公の抗議の後、Valveは特権昇格の脆弱性を修正しました。Valveは、クラヴェットの最初の発見を範囲外と分類したことが間違いであったことを認め、その種の間違いが再び起こらないようにバグ報告ガイドラインを更新しました。
## 結論
Valveの過去と現在を見ると、Steamユーザーが最高のセキュリティを持つことをあまり重視していないことがわかります。その前歴を考えると、Valveの製品やサービスを利用することについて二度考えた方が良いかもしれません。幸いなことに、Valveは悪意のある者があなたのコンピューターシステムを乗っ取る可能性があるCS:GOのバグを修正しました。