PCゲームプラットフォーム「Steam」において、無料配布されていたインディーゲームに悪質なマルウェアが混入していたことが判明し、ユーザーに緊張が走っている状況が確認されている。
2026年5月19日現在、問題のタイトル『Beyond The Dark』はすでにストアから削除されダウンロード不可となっているが、専門家は感染の二次被害について強い警鐘を鳴らしている。
状況はセキュリティアナリストのEric Parker氏が5月18日に行った検証によって判明しており、調査結果によるとこのゲームは既存のデジタル素材を寄せ集めて作られた「アセットフリップ」と呼ばれる低品質な作品で、過去に公開されていた『Rodent Race』という別タイトルを改変・改称して「新作ホラーゲーム」として再公開したものだという。
ストアページでは、乗っ取られたアカウントやボットによる虚偽の好意的レビューが並べられ、ユーザーの警戒心を解くための巧妙な工作が施されていた。
マルウェアの仕組みは極めて悪質かつ巧妙で、ゲームの実行に不可欠な「UnityPlayer.dll」というファイル内に悪意あるコードが隠蔽されており、ゲームを起動した瞬間にバックグラウンドで動作を開始するという。
主な標的は、Google Chromeなどのブラウザに保存されたログインIDやパスワード、クレジットカード情報、そしてMetaMaskなどの暗号資産ウォレットの認証情報だとみられている。
これらは即座に攻撃者の管理するC2サーバーへと転送される仕組みになっていた。
このマルウェアは「ダウンローダー」としての機能を備えており、感染したPCにさらなるウイルスやランサムウェアを呼び込むためのバックドアを構築する。
報告されている実害としては、DiscordやSteamアカウントのセッションが乗っ取られ、フレンドリストに対して「このゲームが面白いから遊んでみて」といった偽の勧誘メッセージが自動送信されるという二次被害だった。
信頼している知人からの紹介を装ったネズミ講式の感染拡大が起きているのが現状とされている。
過去にも『PirateFi』や『BlockBlasters』といったタイトルで同様の手口が確認されており、中には数千万円規模の暗号資産が盗み出されたケースも存在する。
今回の『Beyond The Dark』についても専門家は「このゲームを一度でも起動してしまった場合、PCに保存されていたあらゆるログイン情報がすでに攻撃者の手に渡ったと判断し、すべてのオンラインサービスが乗っ取りの危機にあるという前提で、最悪の事態を想定した速やかな対応をとるべき」との注意する声もある。
万が一、このゲームをインストールしたり起動したりしてしまった場合、単にゲームを削除するだけでは不十分とされている。
被害を最小限に食い止めるためには、まずPCのネットワークを物理的に遮断して外部への情報送信を停止させ、信頼できるセキュリティソフトでシステム全体をフルスキャンする必要がある。
その上で、スマートフォンなど別の感染していないデバイスを使用し、Google、銀行、SNS、暗号資産関連など、あらゆるサービスのパスワードを速やかに変更し、既存のログインセッションを全て強制終了させる対応が強く求められている。
Steamのような大手プラットフォームであっても、審査をすり抜けるサプライチェーン攻撃のリスクは常に存在している。
ストアページの説明文が不自然だったり、動画の内容と実際のゲーム画面が大きく異なったりする場合は、無料であっても安易にインストールしないという自衛意識が、これまで以上に重要となっている。
【参考】
https://automaton-media.com/articles/newsjp/20260519-443800/
https://linustechtips.com/topic/1637709-another-free-game-on-steam-containing-malware-beyond-the-dark/