オンラインゲームのプレイヤーは、Steamアカウントを盗むことを目的とした巧妙な詐欺に注意する必要があります。
この詐欺では、公式のロゴや有効なリンク、本物そっくりのSteamログイン画面などが用意された、一見本物のように見える偽のFACEIT認証ページが使用されています。パスワードの入力を求められる段階まで来ると、多くの被害者は、本物のサービスを利用していると確信してしまいます。
目的は、あなたのSteamアカウントを盗むことです。
なぜこの詐欺はFACEITのプレイヤーを標的にするのか
競技志向のゲーマーでない方にとって、FACEITという名前は耳慣れないかもしれません。しかし、何百万人もの人々にとっては重要な存在であり、そのためサイバー犯罪者によるなりすましの標的となっています。
FACEITは、『Counter-Strike 2』(CS2)向けの最大級の競技用ゲームプラットフォームの一つです。数百万人のプレイヤーが、ランクマッチ、トーナメント、リーグ戦、そして高度なチート対策機能を利用しています。
FACEITを利用するには、通常、プレイヤーはSteamアカウントを連携させる必要がありますが、このアカウント情報は詐欺師にとって格好の標的となります。
盗まれたSteamアカウントには、以下の情報が含まれている可能性があります:
- 数百ドルから数千ドル相当の購入済みゲーム
- 貴重なCS2のスキンやアイテムで、中にはかなりの金額に相当するものもあります
- ウォレットの残高と保存済みの支払い方法
- 長年の友人関係、メッセージ、そしてコミュニティでの評判
犯罪者がアクセス権を得ると、アイテムを盗んだり、友人を騙したり、あるいは犯罪者向けのマーケットプレイスでアカウントを転売したりすることが可能になります。
FACEITはSteamと連携しているため、偽の「FACEIT認証」ページは人々を騙すのに格好の手口となります。被害者はアカウントの更新を行っていると信じ込んでしまいますが、実際には攻撃者が、高価なゲームやスキン、ウォレットの残高が含まれている可能性のあるSteamアカウントを盗もうとしているのです。ゲーマーはアカウントの連携や認証手順に慣れている上、ゲームへのアクセスが危険にさらされていると感じると慌てて行動してしまうため、特に被害に遭いやすい傾向にあります。
詐欺の仕組み
この攻撃は、FACEITの公式ページに見せかけたウェブサイトから始まります。こうした詐欺サイトは、ゲーマーが日常的に利用しているコミュニティフォーラム、チャットサーバー、ソーシャルメディアの投稿、ダイレクトメッセージといった経路を通じて拡散されていると考えられます。
このページでは、FACEITがより信頼できるコミュニティを築くために、任意の本人確認サービスを無料で提供していると謳っています。ページは洗練されており、正しいブランドロゴが使用されているほか、FACEITの正規のブログやサポートページへの有効なリンクも掲載されています。あらゆる点が、本物のFACEITのウェブサイトであるかのように思わせるよう設計されていますが、実際はそうではありません。
公式の faceit.com ドメインについて、詐欺師たちは次のような類似したアドレスを使用しています:
faceit-discord.comfaceit-clubs-verify.comfaceit-verification-clubs.com
「verification」や「discord」といった余分な単語は、一見してそのアドレスが正当なものに見えるように仕組まれていますが、実際にはサイバー犯罪者によって管理されているサイトです。
こうしたドメインの多くは、登録されてからわずか数日、あるいは数時間しか経っていません。詐欺師たちは、いずれブロックされる可能性が高いことを承知の上で、絶えず新しいドメインを登録しています。そのため、サイトが危険として警告されていないからといって、安全だとは限らないのです。
とはいえ、小さな手がかりはいくつかあります。例えば、あるページには「Copyright 2024」と「Copyright 2025」の両方が記載されていました。正規の企業がそのようなミスを犯すことはめったにありませんが、詐欺サイトではよくあることです。
確認のメッセージが表示された後、そのページではCS2アカウントに問題があるとして、チート行為を行っていないことやスマーフアカウントを使用していないことを証明するために、情報の更新を求められます。
ここが巧妙な点です。QRコードはぼやけていて、スキャンしにくいように見えます。研究者たちは、これは意図的なものだと考えています。何度かスキャンに失敗すると、多くのユーザーは諦めて、代わりに簡単そうに見える「Steamでログイン」ボタンをクリックしてしまうでしょう。
この破損したQRコードは、被害者を実際の金銭の窃取が行われるページの一部へと誘導する仕掛けとなっている。
ユーザーが最終的にQRコードを諦めてボタンをクリックすると、Steamのログイン画面が表示されます。Steamのロゴやログイン欄、そして一見すると steamcommunity.com アドレスバー。
でも、その窓は偽物だ。
詐欺師たちは、本物のSteamログインページを開く代わりに、ウェブサイト内に精巧に作られた偽のページを表示します。セキュリティ研究者は、これを「ブラウザ・イン・ザ・ブラウザ(Browser-in-the-Browser)」攻撃と呼んでいます。この偽のウィンドウは、本物のブラウザのポップアップと見た目も動作も似ていますが、アドレスバーは単なる画像の一部に過ぎません。
このフォームに入力した情報はすべて、犯罪者の手に渡ってしまいます。もしそのページでSteam Guardコードの入力を求められた場合、それも盗まれ、攻撃者がアカウントにアクセスできるようになってしまいます。その後、被害者の中には、アイテムを「保護」するために友人や予備のアカウントへ移すよう騙される人もいますが、実際には詐欺師に直接送っていることになります。
この詐欺から身を守る方法
いくつかの簡単な習慣で、この詐欺を防ぐことができます:
- 実際のアドレスバーを確認してください。 FACEITの公式ウェブサイトは
faceit.com. 以下のような類似ドメインには注意してくださいfaceit-discord.comまたはfaceit-clubs-verify.com. 覚えておいてください:ウェブページ内のログイン画面は、アドレスバーの表示を偽装することがあります。ページ内のアドレスバーではなく、ブラウザの上部に表示されるアドレスバーを信頼してください。 - ぼやけたQRコードには注意してください。研究者によると、この詐欺におけるQRコードは、ユーザーを「Steam経由でログイン」ボタンへと誘導するために、意図的にぼかされていると考えられています。
- 「至急」という文言は警告サインだと捉えてください。アカウントの問題、本人確認、またはアクセスできなくなるといった内容のメッセージは、あなたに急いで行動させることを目的としています。まずは落ち着いて、事実を確認してください。
- 必ず公式サイトを確認してください。FACEITやSteamから何かを求められているのか分からない場合は、Discordやメッセージ、広告のリンクを経由するのではなく、ご自身で公式サイトやアプリを開いて確認してください。
- セキュリティ対策をさらに強化しましょう。詐欺サイトは、一見すると正規のサイトのように見えることがよくあります。 Malwarebytes Browser Guard は、ユーザー名やパスワードを入力する前に、既知のフィッシングページやその他のオンライン詐欺をブロックするのに役立ちます。
すでに 詳細情報を入力済みの場合は
直ちにSteamのパスワードを変更し、Steam Guardが有効になっていることを確認した上で、他のすべてのデバイスからサインアウトしてください。Steam APIキーの設定を確認し、見覚えのないキーがあれば削除してください。そのパスワードを他の場所で再利用している場合はすべて変更し、アカウントに不正な取引や購入がないか確認してください。
なぜこの詐欺がうまくいくのか
この詐欺が成功するのは、一見して詐欺には見えないからです。ブランドイメージは説得力があり、ストーリーも筋が通っており、Steamのログイン画面さえも本物のように見えます。
多くの人は、パスワードを入力する前にアドレスバーを確認するよう心がけています。「ブラウザ・イン・ザ・ブラウザ」攻撃は、まさにその習慣を無効化するように仕組まれています。偽のSteamウィンドウがページ自体に組み込まれているため、犯罪者はアドレスバーに好きな内容を表示させることができ、例えば steamcommunity.com.
最も安全な方法は、他のウェブサイト内に表示されるログイン画面にはすべて疑いの目を向けることです。もし不安を感じたら、そのページを閉じて、公式アプリを使用するか、アドレスを直接入力するなど、普段通りの方法でSteamにログインしてください。
そのほんの少しの間を置くこと、ページが誘導しようとする手っ取り早い近道を選ばないこと――それだけで、自分のアカウントを自分らしく保つことができるのです。
被害が及ぶ前に脅威を阻止しましょう。
Malwarebytes Browser Guard 、フィッシングページや悪意のあるサイトを自動的にBrowser Guard 。無料で、ワンクリックでインストールできます。ブラウザに追加する →
