PCゲーム配信プラットフォーム大手「Steam」を運営するValveは10月11日、セキュリティ強化のため、10月24日より開発者用プラットフォーム「Steamworks」のすべてのアカウントに対し二段階認証をするための電話番号登録を義務づけることを発表した。
アップデートファイルにマルウェアが混入
Steamでは8月下旬から9月にかけて、Steamworksアカウントを通じてプレイヤーをマルウェアに感染させるソフトウェアが混入したゲーム(ゲーム名は伏せられている)が配信されていた。
Wondering why Steam devs will have to confirm via SMS before publishing new game versions or adding users? (https://t.co/EIyLHyA02N….) Looks like it's related to hackers taking over Steam dev accounts & adding malware to game builds. (Screenshot via @SteamDB from Sept. 2023.) pic.twitter.com/WfjGiHdhxm
— Simon Carless (@simoncarless) October 10, 2023
被害を受けたのは数百人のユーザーに限定されており、個別に上記のようなメッセージが送信されていた。
あなたは最近Steamであるゲームを起動しました。そのゲームの開発者のSteamアカウントが侵害され、攻撃者がマルウェアを含む新しいビルドをアップロードしました。
(中略)
マルウェアが含まれていたビルドはすぐにSteamから削除されましたが、信頼するアンチウイルス製品を使用してシステム全体をスキャンすること、また新しくインストールされたソフトウェアを検査することを強くおすすめします。
Valveはこれを受け、10月24日よりSteamでゲームを公開しているすべてのSteamworksアカウントに対し、SMSベースの確認コードを送信する追加のセキュリティ対策を実装すると発表した。
認証をする際にはSMSの受信が必要となるため、すべての開発者はいつでも使用できる携帯電話番号を登録する必要があり、例外は認めないとされている。
