PC版ストリートファイター5のrootkit問題。

(2016年9月30日 追記)

公式にてこの件のアナウンスがありました。セキュリティリスク回避の方法や不要データ削除ツールの近日配布なども書かれておりますのでこちらもあわせてご覧下さい。

皆さんこんにちは、綾野です。 9/23に行われたPC版のアップデートにて多数のプレーヤーからゲームが起動できないという症状をいただきました。 急遽症状改善のための暫定措置としてアップデートを行いました。下記手順でアップデートを実行してください。 1.ストVゲームアプリを終了してください 2.Steamクライアントはその...

スパイウェア+ストリートファイター5=スパ5?

PC版ストリートファイター5の2016年9月23日に行われたVer.1.09アップデートrootkitが仕込まれていた事が大問題となってますね。

私はそもそもアプデをしていなかったのでセーフっぽいんですが、ウィルスならまだしも(いやウィルスでも超大問題ですがw)調べてみればみるほどrootkitというのが非常に厄介なヤツでした。

事のあらまし。

事の時系列は格ゲーチェッカーさんの記事を引用させて頂きたいと思います。

2016年9月23日に行われたVer.1.09アップデートに関し、ネット上で指摘されているPC版についての問題について、確認済みの情報と未確認の情報をまとめたものです。技術的に詳しいわけではありませんので認識に誤りがあればご指摘ください。※10/1追記:問題のあるファイルの削除ツールが公開。記事を更新しました。脆弱性の...

・9月23日11時頃:「Ver.1.09」アップデートが実施。PC版には追加で「チート対策(セキュリティ強化)」が盛り込まれていた。(参考1 / 参考2
米カプコン公式ブログでは、この「チート対策」がウィルス対策ソフトなどに検出される可能性があるため、実行ファイルを例外に登録するよう指示が行われた。(参考

・9月23日14時頃:海外向けSFツイッターが、PC版アップデートの問題に対して調査を開始したことをツイート。(参考

・9月24日05時頃:海外向けSFツイッターが、アップデートをロールバックに向けて動き出したことをツイート。(参考

・9月24日09時頃:海外向けSFツイッターが、ロールバックするアップデートを配信開始したとツイート。(参考

・9月24日14時頃:日本公式ツイッターが、ゲームが起動できない症状に対する暫定措置を行なったことをツイート。アップデート手順が掲載。(参考 / 参考2

・9月28日13時頃:日本公式ブログにて、各種問い合わせがあり現在調査中、進捗があり次第報告する旨の告知が行われた。(参考

情報は常に更新されているようですので、最新の状況は上記リンクからご確認下さい。

そう、この「チート対策」が悪夢の始まりでした。

どんな内容?

内容につきましてはチゲ速さんのまとめを見て頂いたほうが分かりやすいと思いますのでご紹介させて頂きます。

Ver.1.09アップデートでは、PC版のセキュリティ強化として実装されたチート防止機能の中に、capcom.sysというrootkitが含まれていたことが判明しています。

9月24日現在配信されているアップデートを適用しても、Ver.1.09でインストールされたcapcom.sysは削除されていないという報告が寄せられています。

で、このcapcom.sysはどんな動きをするのかと言いますと、引用ばかりで本当に申し訳ありませんが本の虫さんに詳細がありましたのでご紹介致します。

Double KO! Capcom's Street Fighter V installs hidden rootkit on PCs • The Register カプコンのPC版ストリートファイター5のアップデートで、チート防止機能の実装に、rootkitが含まれて...

PC版ストリートファイター5のアップデートに含まれているカーネルドライバー、capcom.sysは、IOCTLでサービスを提供する。その挙動は、まずSMEPを無効にし、呼び出し元の指定したポインターの参照するユーザーモードのアドレス空間上のコードを実行し、SMEPを再び有効にする。

とんでもない脆弱性で、ユーザーモードからカーネルモードでの任意のコード実行を可能にするので、rootkitに分類できる。

なおこのcapcom.sysシマンテック先生より問題のあるファイルとしてしっかりお墨付きを頂く結果となった模様です。

しかし大企業のやることかいなコレ・・・。

rootkitとは何ぞや?

私、いかんせん浅い人間ですから説明を見ても「ゆーざーもーど?かーねる?」となりまして。ええ。

そんなこんなで調べたんですが、いやー「いんたぁねっと」というものは非常に便利ですね。『ASCII.jp』さんがしっかりレクチャーしてくれました。この記事はルートキットがセキュリティソフトに検知されない様に隠ぺい動作をするタイプに焦点を当てている話ですが、何となくどうヤバイのかが多少なりとも理解出来るのではないかと思います。

セキュリティ用語に限った話ではなく、ITの用語には実態をよく知らないままに使われているものがたくさんありますが、「ルートキット」はそのうちの1つではないでしょうか。

特にカーネルモードのルートキットの場合には、管理者を含めたユーザーが目にすることはない深い部分でシステムを書き換えているため、検出や削除に苦労を要します。システムファイルを書きかえられてしまうと、システムの起動ができなくなることもあるため、簡単に削除などはできません。最悪の場合、OS自体の再インストールという自体に陥ります。

といった様にOSの根幹からシステム書き換えられてしまう為、まず普通には手の届かないところにセキュリティーホールを作られた挙句、セキュリティソフトが検知出来ないように隠蔽しながらウィルスやマルウェアの浸入を容易にさせる、といった最悪の状況が考えられそうです。

とはいえcapcom.sysがどこまでブッ込んでくるのかはまだハッキリとした被害の事例も無いようですので、現状は何とも言えないんですが。

あ、そういえば。

すっかり忘れていましたが大分前に自前でルートキットを入れてたことがありました。先代のスマホ

スマホを購入したての時にはプリインストールされている色々なアプリがありますよね?例えばこういうアプリが邪魔に感じて削除したくてもシステムに組み込まれているのかアンインストール出来ない物ばっかりだったりします。

そこでルートキット化する事でOSの内部にまで入り込めてカスタマイズ出来る権限を持つ事になりますので、こういう邪魔なアプリも削除出来たりします。もちろん余計なものまで消して文鎮化しても保証外なので自己責任の上です。

と、考えるとシステムの内部に踏み込めるというのは自分の意思で入れるのと、自分の知らないところで入っているのでは非常に大きな違いですね。好き勝手出来ちゃいますから。

現時点で出来そうな対策。

とりあえず的にまずこのcapcom.sysを排除したほうが良さそうです。

もふもふさんが指南している方法でやってみましょう。

このcapcom.sysがある人もいれば無いと言う人もいるみたいですね。単純に一覧に無ければセーフなのかなぁ?私はそもそもアプデしていなかったのでcapcom.sysも入っておらず大丈夫だとは思ってるんですが・・・なんかもう疑心暗鬼です。

最悪、OSの再インストールしなくちゃならないんでしょうか。

冷静職人でお願いします。

ただ今回の一件だと悪意の有無はともかく形式的にはカプコンがrootkitを仕掛けた=「攻撃者」という形になってしまうと思うんですが、そのrootkitで作った脆弱性を突いてカプコンがウィルスなどを放り込んできたりするとは考えにくいところかなーとも思います。

んじゃカプコン以外の第三者がこのセキュリティホールを悪用したら?とかもう考え始めたらキリがない気がしますので、そのうち私は考えるのをやめたw

と、現在調査中との発表もありましたので(めっちゃ歯切れの悪い発表ですがw)公式のアナウンスがあるまでは慌てず騒がず、またこういう時ほど悪質なデマも広がっていくことが多い気もしますので冷静に動向を見守るのも大事かと思います。

もちろん気が気ではありませんけども。

スポンサーリンク
レクタングル(大)
レクタングル(大)

シェアする

  • このエントリーをはてなブックマークに追加

フォローする