Apex Legendsの大会で起こったハッキング事件について

事件の概要

今回の事件は世界中で人気の無料バトルロワイアルFPSゲーム「Apex Legends」のE-Sports大会「Apex Legends Global Series」(以下、ALGS)にて起こりました。
大会中にハッカーがプロゲーマー2名に対してチートを付与したことにより、プロゲーマーが不正にチートを利用したのではないかと大会は一時混乱状況に陥りました。

これがきっかけとなり、ゲームの開発を行っているRespawn Entertainmentがプレイヤー全体にゲームのアンインストールを推奨するまでに至ったいいます。[1]

※本記事ではソースとしてYouTubeの動画をいろいろ貼ってますが、動画から内容をある程度は抽出してるので再生しなくても理解できるようにしてます。

おおまかな事件の流れ

【大会前の出来事】

ハッカーから送られたギフトを開封

大会前、プロゲーマー「ImperialHAL」(以下、ImperialHAL選手)はハッカーから送られたと思われるパックを開封しています。

その際、ImperialHAL選手は
「もしかしたら、ハッカーからかも。」「それでも全然もらうよ」
と言いながらパックを開封していました。

ただ、これがチートを付与されたことと直接的に関連しているかは不明です。

その後も受け取りボックスを確認すると、大量のパックが送り続けられている様子でした。

www.youtube.com

不審なファイルのダウンロード

他にも、ImperialHAL選手は
チャットで送られてきたURLから何らかのソフトをダウンロードしたそうです。

これが事実であれば、このときダウンロードしたファイルが起因となり、
PCに侵入されてしまったとも考えられます。

大会後に「Malwarebyte」というセキュリティソフトをダウンロードしてクイックスキャンを行ったそうですが、マルウェアは見つからなかったそうです。

ただ、ハッカーが自分で作った(まだ世に出回ってない)マルウェアだったためにセキュリティ製品が見つけられなかったという可能性も考えられます。

トロイの木馬】とは
正規のソフトウェアや無害なソフトウェアを装ってシステム内で活動するマルウェアです。
PCだけではなくAndroid端末に侵入するトロイの木馬なども見られるため、不用意にソフトをダウンロードしたり、正規ではない場所からのダウンロードしないよう日頃から心掛けましょう。 news.mynavi.jp




【大会中の出来事】

試合途中に突如ウォールハックが付与される

ALGS NAリージョン決勝戦の第3試合目 、
試合後半にDarkZero所属のプロゲーマー「Genburten」(以下、Genburten選手)のアカウントから「Apex hacking global series」や「by Destroyer2009 & R4ndom」というチャットが連投されました。
自動送信されたチャットの画像

それに対してチームメイトは「ハッキングされているが、気にするな」と伝えます。
(※この時点ではチャットが自動送信されているだけだったため、試合自体は続行可能と判断したと思われる。)

ただ、Genburten選手の画面では、チャットが連投されたのと同時に「TSM Halal Hook」というウィンドウが表示されていました。
チート用のコンソール画面

(※これがゲーム内の表示なのか、PC内で別プロセスで起動されたのかは不明。)

また、ウィンドウが起動したのと同時に、Genburten選手のプレイ画面ではゲーム内のプレイヤー全員が壁越しに見える状態(ウォールハック)となっていました。

(Genburten選手は両手を挙げて、自分は何もしていないと主張するような動きを見せていました。)


その後、Genburten選手は自身がウォールハック状態であることをチームメンバーに伝え、試合から抜けました。

上記はGenburten選手がチートが付与されたことに気づいてから30秒以内の出来事でした。

www.youtube.com

別の試合にてエイムボットが付与される

Genburten選手のウォールハック付与事件があった試合(決勝戦 第3試合)の終了後、
TSM所属のプロゲーマー「ImperialHAL」はGenburten選手に起こった出来事のリプレイを見ていました。

その際、ImperialHAL選手は大会出場者が全員いるロビーのチャットで
「was he not able play?(彼はゲームをプレイできなかったの?)」 と質問すると、

Zer0選手(Genburten選手のチームメイト)が
「he left bc he had wallhacks(彼はウォールハックが付与されていたから抜けた)」
とチャットを返していました。

実際のチャット画面

その後大会は運営の判断により続行となり、そのまま第4試合目が行われることとなりました。

第4試合目は中盤ごろまで問題なく進んでいるように見られましたが、今度はImperialHAL選手に異変が起こります。

この試合で初めてImperialHAL選手が敵を狙撃した際、自身にエイムボットが付与されていることに気づきました。
(※第4試合目の開始時からエイムボットがオンにされていた可能性もある。)

その際、ImperialHALは棒立ちしている敵に対してエイムを合わせていたにも関わらず、エイムした右側にいる敵にも弾が当たっていました。
ImperialHAL選手の実際のゲーム画面

この時、チームメイトは「ゲームを抜けろ」とImperialHAL選手に対して伝えますが、

それに対し、
「撃たなければどうかな?」と試合に残りたがる様子でした。

後にこの対応について、ImperialHAL選手は以下のように主張しています。

もし自分が試合を途中で抜けていれば、おそらく試合は続行になっていたと思う。
だけど逆に、自分が試合に残り続ければ運営は試合を中断するしかないと思ったんだよ。
そもそも、自分は悪いことをしていないのにハッカーのせいでハンデを背負うなんてごめんだよ。

(ただ、チートが付与された状態でのプレイはプロゲーマー間でプロレスが開催されてました笑)
↓下の動画でその様子が見れます。
youtu.be

流れでそのまま3人で試合を続行することになりましたが、大会運営の判断により試合は途中でストップされてしまいました。

そこから約1時間、大会の運営から大会自体の延期も発表されました。

このシリーズの競技の完全性が損なわれるため、我々は現時点でNAファイナルを延期する決定を下した。 近日中に詳細をお知らせします。



www.youtube.com




【大会後の出来事】

プロゲーマー「ImperialHAL」が誤BANされる

大会が中止になった後、ImperialHAL選手はランクマッチに参加しました。

すると、試合がマッチした直後、「ERROR:The Client's game account han been banned.」の画面が表示され、アカウントがBANされてしまいました。

実際にチートが付与されていたため、誤BANとは少し違うかもしれませんが。。

BANされたシーン

Genburten選手のPCをEAが回収?

同じく大会が中止になった後、Genburten選手はEAから連絡があり、おそらくPCにアクセスされたとの連絡を受けたという。
また、EAから今使っているPCに一切触るなと指示された模様。

(途中から再生されます)
 youtu.be

Anti-Cheat Police Departmentによる注意喚起

ゲーム内の不正行為を調査しているアカウント「Anti-Cheat Police Department」(以下、ACPD)は当該事件の発生を受けて、
ALGS(今回事件が起こった大会)に出場した全プレイヤーに対して、下記のような注意喚起を行った。

ALGSトーナメントに参加された選手の皆様へ、個人情報保護のため早急に対策を講じることを強くお勧めします。Discordのパスワードを変更し、メールの安全性を確保することをお勧めします。
できるだけ早くOSを再インストールしてください。PCがルートキットやその他の悪意のあるソフトウェアに感染している可能性があります。

Easy Anti-Cheatによる主張

ACPDは上記の注意喚起を行う前に、ハッカーが悪用したのはApex Legends(ゲーム本体)もしくは、Apex Legendsで利用している「Easy Anti-Cheat」の脆弱性ではないかとポストしていました。[2]

PSA: 現在、@PlayApex で RCE exploit が悪用されています。ゲームに起因するものなのか、実際のアンチチート ( @TeddyEAC ) に起因するものなのかは不明です。EACで保護されたゲームやEAタイトルをプレイすることは、彼らがこれを修正するか、コメントを得られるまで控えることをお勧めします。 現在、RCEはストリーマーのマシンにチートを注入するために悪用されており、PC全体をロックするランサムウェアソフトウェアをインストールするなど、何でもできる能力を持っていることを意味する。



しかし、これに対してEasy Anti-Cheatは約4年ぶりにX(旧Twitter)の投稿を更新した。

我々は、Easy Anti-Cheat 内の RCE 問題の可能性に関する最近の報告を調査しました。現時点では、EACに悪用されるRCE脆弱性はないと確信しています。私たちは、必要なフォローアップサポートのためにパートナーと緊密に協力し続けます。

Easy Anti-CheatはApex Legends以外にも「Fortnite」や「Dead by Daylight」にも利用されている製品であるため、このソフトウェアの脆弱性が狙われていた場合は、他のゲームにも影響することが考えられました。

そのため、この報告はゲーム界隈全体で大きな安心感を与えたと思われます。

セキュリティエンジニアの方による意見

OverWatchなどのチート対策などを行っていたというPirateSoftwareのThorさんによると、
今回のハッカーはサーバサイドのPCと2台のクライアントPCに対するハッキングを行ったのではないかと推測しており、
ゲーム本体やEasy Anti-CheatのRCEの脆弱性が狙われた可能性は今の段階では低いと発言しています。

サーバサイドのハッキングに成功していると判断した根拠としては、ハッカーが行ったとされる以下の行動にあると言います。

  1. Apex Legendsのゲーム上で特定のプレイヤーにパックを送った
    2.大会とは別で試合中、ゲーム内に大量のBOT(CPU)を召喚した
    3.チートを使っていないプレイヤーをBANした

ただ、筆者は3点目については本当にハッカーによるものかは不明だと感じています。
3点目はこの記事でも紹介した、ImperialHAL選手が誤BANされた際の話をしているのですが、 このとき、実はImperialHAL選手と一緒にランクを回していたチートを使っていないプレイヤーもBANされています。

このことから、ハッカーがBANしたのではないかという結論に至っているのですが、
実際のところ「本当にハッカーがサーバを操作してプレイヤーをBANした」のか、「チートを使っているユーザ(ImperialHAL選手)と一緒にランクをプレイしたからEasy Anti-CheatによってBANされた」のかは不明です。

今の段階ではハッカーがどのようにしてハッキングしたのか(攻撃手法)、ハッカーは何をできるのか(影響範囲)などは明らかになっていません。

おわりに

最後まで読んでいただきありがとうございます!!
読んでくれた人が事件の流れをざっくり理解できてたらいいなーと思いながらまとめましたが、いかがだったでしょう :) 

気になったのでいろいろ調べてましたが、流れを追って情報収集するのが意外と大変で疲れてしまいました笑
あと、最近は昔に比べて座っている時間が長くなったからか、今朝、腰に激痛が走った時はさすがに焦りました orz

(これをまとめるのに夢中で仕事に遅刻してしまったのはまた別のお話。。)

ただ、今回実際に書きたかったのは「攻撃の具体的な内容」「ハッカーの主張」「PirateSoftwareのThorさんによる解説」などの技術的な部分なのですが、
体力的に書けなかったので、近いうちに(需要があれば?)また記事でまとめようと思います!!

内容が気になる方は、下に記事のリンクを貼ってるので見に行ってみてください!!

参考情報

ALGSハッキングはソースエンジンのRCEエクスプロイトに関連している可能性 https://www.reddit.com/r/CompetitiveApex/comments/1bhgjmo/the_algs_hacking_may_be_related_to_an_rce_exploit/?rdt=33980

Valveがまだパッチを当てていないもの https://www.reddit.com/r/GlobalOffensive/comments/mu3xqs/rces_and_you_the_ones_valve_still_havent_patched/

ハッカーの主張(インタビュー記事) techcrunch.com

PirateSoftwareのThorによる分析 www.youtube.com

PirateSoftwareのThorとImperialHALの対談 youtu.be