レトロゲームファンは、自分のコンソール向けのツールやプラグインであると謳うGitHubのプロジェクトには注意すべきです。攻撃者は、通常のコンピュータ向けマルウェアを自作ソフトに見せかけることが可能であり、この手口は特定のコンソールに限らず、活発な改造コミュニティが存在するあらゆるレトロゲームプラットフォームに対して有効です。
先日、PlayStation Vitaユーザーを標的とした事例を1つ取り上げました。それは、無料のオーディオツールを装いながら、実際にはユーザーのコンピュータWindows を実行してしまう偽のプロジェクトです。
「EQVita」と呼ばれるこのプロジェクトは、一見するとごく普通の自作プラグインのように見えます。洗練されたREADMEファイル、ダウンロードボタン、スクリーンショット、そして整然としたレイアウトを備えています。しかし、ダウンロードしたファイルには、Vita用のものは一切含まれていません。その中にはWindows が含まれており、一見無害に見えるテキストファイルは、実際には、実行するとこっそりと攻撃者のサーバーに接続する隠しスクリプトなのです。
これは単発の事例ではありません。他の研究者たちは、攻撃者がAIで生成された説明文を添えた偽のGitHubリポジトリを利用して、「SmartLoader」と呼ばれるマルウェアを拡散させ、そこから「Lumma Stealer」などのパスワードやウォレット情報を盗むマルウェアをダウンロードさせる手口を確認しています。EQVitaのダウンロードも同様の手法を用いており、レトロゲームファンにアピールするよう再パッケージ化されています。
以下の比較表をご覧ください。左側が偽のGitHubリポジトリ、右側が本物のGitHubリポジトリです。
バージョン番号にもちょっとした仕掛けがあります。本物のEQVitaはバージョン1.10ですが、偽物は1.3と表示されています。一見すると1.3の方が新しいように見えますが、実際はそうではありません。ソフトウェアの世界では、1.10は1.9の後にくるため、本物のプロジェクトの方が新しいバージョンなのです。偽物は、単に最新に見える数字を借りているだけなのです。
なぜこれがVitaユーザー層をターゲットにしているのか
レトロゲーム機に興味がない人にとっては、PS Vitaはそれほど重要ではないかもしれません。しかし、大規模で活発なコミュニティにとっては重要な存在であり、それゆえに標的となっているのです。
ここで正直に告白すると、私はこの機種に特別な思い入れがあります。10年ほど前に中古のVita 1000を購入しましたが、今でも問題なく動作しています。時々棚から取り出して遊んでいます。その主な理由は、ゲームライブラリが非常に充実していて、いつでも再プレイする価値のある作品が見つかるからです。私だけではないようです。
ソニーは数年前にVitaの生産を終了しましたが、ファンたちはエミュレーター、ファイルマネージャー、プラグインといった独自のソフトウェアを開発し続け、Vitaの命脈を保ち続けています。改造されたVitaなら、PSPのゲームをフルスピードで動作させたり、SNES、ゲームボーイアドバンス、セガ・ジェネシスといった旧世代のゲーム機をエミュレートしたりすることができ、この携帯ゲーム機は万能なレトロゲーム機へと変貌を遂げます。 2026年、このシーンは活況を呈しており、活発な開発者が活動しているほか、賞金付きのホームブリューコンテストまで開催されています。
その需要は価格にも反映されている。2019年以降、新機種が製造されていないため、動作するVitaは人気のレトロアイテムとなっており、この1年で主要なマーケットプレイスにおいて中古価格が上昇している。中でも、ファームウェアの点で改造愛好家に高く評価されている旧型のOLEDモデルは、最も値上がり幅が大きい。つまり、改造を目的としてVitaを購入する人がかつてないほど増えており、その結果、インストール用のプラグインやツールを探す人も増えているということだ。
その熱意こそが、攻撃者たちに悪用されるのです。自作ソフトのユーザーは、GitHubからファイルをダウンロードし、フォルダに保存して実行することに慣れています。この趣味そのものが、個々の開発者が提供するコードを信頼することに成り立っています。詐欺師たちはこのことを熟知しているため、偽の「Vitaプラグイン」を使えば、普段なら実行しないようなものをユーザーに実行させるのが容易になるのです。
詐欺の仕組み
ダウンロードは、 EQ_Vita_v1.3.zip, には3つのファイルが含まれています:
Launch.batluajit.exex64.txt
ここが巧妙なところです。 luajit.exe これは、スクリプトを実行する、本物で無害なプログラムです。このバッチファイルは、単にそのプログラムにファイルを開くよう指示するだけです。 x64.txt. にもかかわらず、 .txt name、そのファイルはテキストなどではなく、隠しスクリプトであり、LuaJITによって実行されます。それを呼び出すと .txt だからこそ、一見無害に見え、気づかずにスクロールして通り過ぎてしまいがちになるのです。研究者たちは、SmartLoaderキャンペーンにおいても同様の仕組みを確認しました。ダウンロードされたファイルの中で危険なのは偽装されたスクリプトだけであり、その周囲のファイルはすべて正当なものです。
つまり、ダウンロードされたファイル自体には、一見して危険なものは何もありません。明らかなインストーラーも、怪しげなアプリもありません。ただ、信頼できるツールを使って、他人のコードを実行しているだけなのです。
スクリプトが実行されたとき、何が起きたのかを確認しました。まず、スクリプトはコンピュータが世界のどこにあるかを確認しました。次に、一見無意味に見える文字列に変換されたウェブアドレスを使って、インターネット上のサーバーにこっそりと接続し、データを送信しました。サーバーからは応答が返ってきました。
オーディオプラグインがそのような動作をする理由はありません。マルウェアの「ローダー」は、攻撃者のサーバーに「ホーム」へ連絡して指示を受け取り、次のマルウェアをダウンロードするという動作をします。このキャンペーンでは、その次のマルウェアは通常「スティラー」と呼ばれるもので、仮想通貨のウォレットや保存されたブラウザのパスワード、ログインコードなどを狙うマルウェアです。
Malwarebytes はこの脅威をMalwarebytes 、保護されているユーザーは、ファイルが実行される前に阻止されます。
偽物を見分ける方法
Vitaプラグインのほとんどは、VitaShellやAutopluginなどのツールを使用してVitaにインストールされ、Vitaファイル(拡張子が .skprx または .vpk).
この分野には、インストーラーやファイル転送支援ツール、ビルドツールなど、正当なツールもいくつかあり、それらはPC上で動作するため、Windows だからといって必ずしも悪質とは限りません。重要なのは、実行する前に確認することです。
それは広く知られているものですか?広く使われていますか?信頼できるコミュニティの情報源で推奨されているものですか、それとも見慣れないリポジトリでたまたま見つけたものですか?ひっそりと .bat 隠されたプログラムを起動するためのファイルこそ、まさにそのチェックが検知しようとしているものです。
以下の習慣が役立ちます:
- ファイルをデバイスに割り当て、PC用ツールを確認してください。 VitaプラグインのほとんどはVitaファイルであり、Windows ではありません。一部の正規のツールはPC上で動作することもありますので、
.exeまたは.bat、ただし、実行する前に、それが広く知られ、信頼できるツールであることを確認してください。 - 「今すぐダウンロード」といった表現には注意してください。本物の自作プロジェクトのREADMEは、他の開発者と同じようなユーザー向けに書かれています。今回のキャンペーンでは、偽のリポジトリがAI生成のテキストに依存しており、その内容はマーケティング文面のような傾向があります。つまり、絵文字が多用され、親しみやすい表現が使われ、大きなダウンロードボタンが配置されているのです。急いでクリックするよう促すプロジェクトは、改めてよく見極める必要があります。
- 信頼できる情報源にこだわるようにしましょう。定評のあるコミュニティサイトや信頼できる情報源のリストが存在するのには、それなりの理由があります。ダウンロードする前に必ず確認してください。
- 保護をさらに強化しましょう。 Malwarebytes Browser Guard を使えば、既知の悪意のあるページやダウンロードがユーザーに届く前にブロックBrowser Guard 。
すでに実行してしまった場合はどうすればよいか
もしダウンロードして実行した場合は EQ_Vita_v1.3.zip, その場合は、そのコンピュータが侵害されたものとみなすべきです。対処方法は以下の通りです:
- 最新のセキュリティソフトウェアを使用して、マルウェアのフルスキャンを実行してください。
- このキャンペーンは情報を盗み出すマルウェアを拡散しているため、別の安全な端末から重要なパスワードを変更し、各アカウントに不正なログインがないか確認してください。
- そのコンピューターに仮想通貨を保管している場合は、別の安全な端末を使って資金を移動させ、鍵やシードフレーズを定期的に入れ替えてください。
- 2段階認証(2FA)の設定を確認してください。ステラーは2FAのデータも標的にする可能性があるためです。
- 最後に、3つのファイルを削除し、GitHubリポジトリを報告して、削除されるようにしてください。
なぜこの詐欺がうまくいくのか
これがうまくいくのは、詐欺のように見えないからです。GitHub上に公開されており、HomebrewユーザーはすでにGitHubを信頼しています。悪質な行為を行うために、実在する無害なツールを利用しています。そして、危険な部分をプレーンテキストのように見えるファイルの中に隠しています。これらの手口は、それぞれ単独で見ればそれほど巧妙なものではありませんが、組み合わさることで、ほとんどの人が実際に行う簡単なチェックをすんなりとすり抜けてしまうのです。
この件が注目に値するのは、その標的がどこにあるかという点だ。レトロコミュニティは善意によって成り立っている――古いハードウェアを生き続けさせ、成果物を無償で共有し、互いのツールを保証し合うボランティアたちによって。このキャンペーンはまさにその信頼を悪用しており、偽のリポジトリが1つでもすり抜けるたびに、次の本物のプロジェクトへの信頼が少しずつ損なわれていくのだ。
最善の防御策は、これらのコミュニティがすでに備えているものです。つまり、信頼できる情報源のリスト、定評のあるウィキ、そして実際にテストを行って結果を報告してくれる人々です。ファイルを実行する前にその出所を確認し、何かおかしいと感じたら、そのことを指摘しましょう。その習慣こそが、このコミュニティに関わるすべての人にとって安全な環境を維持する鍵なのです。
妥協の指標(IOCs)
ドメイン
https://github.com/Voistace/EQVita
https://voistace.github.io
IP
85.137.52.21 C2
脅威を報告するだけでなく、取り除く
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。
