まず前提として「Steam」には「コミュニティマーケット」というものが存在していて、購入したゲームの実績などでもらえるカード「アイテム」をSteamウォレットで売買できるシステムが存在する。
そのSteamウォレットは当然ゲームの購入などに使えるもので、1アイテム1~2円程度でやり取りされているが、塵も積もれば山となるし、「ゲームを遊ぶことで取得したアイテムの売買によって、次に購入するタイトルやDLC代を浮かせることが出来る」非常に興味深いシステムである。
今回はその「アイテム」が第三者の手によって勝手に出品、それによって稼がれたウォレットを奪われた一連の流れと、発覚した際に取った行動の顛末を書いていこうと思う。
事の始まり
ブログのネタ探ししていたところ、唐突に連続でメインに使っているメールにSteamから47通ほどのメールが飛んできた、
時々行われるセールなどを把握するためにメール通知をオンにしていたが、ここまで大量に来ることはなかったため焦って中身を確認するとほとんどが以下のような文面だった。
確かにコミュニティマーケットにいくつか「アイテム」を出品していたが、そんな47通もメール貰うほど出品してはいない、
そもそも出品していたアイテムはすべて売れてたはず…
そう思い、まずはSteamを起動して「アイテム」の一覧を確認、
まず最初の感想「DOTA2って何?」
そう、この「DOTA2」なるタイトル、筆者は全く知らないのである(後に調べたらeスポーツにもなっている基本無料オンラインマルチゲームらしい)
そもそも「DOTA2」自体プレイどころか「ライブラリ」に登録の作業すらしていないのでここに「DOTA2」のアイテムがあること自体が不自然なのだ…
明らかになった事の真相
というわけで次に見るのは「マーケット」の売買履歴、
そこには衝撃の事実が並んでいた、
このようにメールが来た同日に「マーケットで出品できるだけのアイテム」が全て出品されて、購入されて溜まったウォレットを「DOTA2」のアイテムを高額で購入する事で見事に盗られていた(この売り手は3つとも同一人物)
その合計額「¥186.17」…こう微妙な額っちゃ額だが、安いDLC1個なら変えそうなのがまた…
この件から浮き彫りになった被害とその対策
よくよく考えるとアイテムとウォレット以外にいろいろ被害の可能性があげられるので対策と共に纏めていこう。
手に入れたアイテムの不正な売買によるウォレットの盗難=アカウントの不正アクセス
今回の事件が判明したきっかけであり主な被害、
たかが約200円、されど約200円、先ほど書いた通り単品コスチューム等の安いDLCくらいなら購入できる金額だし、普通に考えると犯人は自分のアカウントに不正アクセスしてマーケット内の操作をしたことになる。
今回は「アイテムとウォレットの損失」で被害が収まったが、最悪「アカウントの削除」や「クレジットカード情報の流出」等、考えられる被害は多岐にわたる。
なので今後このようなことが無いようにしっかりと対策はせねばならない。
対策1.売り手アカウントの通報とブロック
「マーケット」の売買履歴から、相手のアカウントのプロフィールに行けるので、まずはそこでそのアカウントの通報とブロック(今回は犯人と思われる最後にDOTA2のアイテムを売っていたアカウント)
通報はもちろんの事ながら、そのアカウントをブロックすることによって、その人物と「マーケット」上での売買ができなくなるので、まずそのアカウントで同じ被害に会うことは無くなる(別アカとか使われたらまた別の話だが…)
対策2.アカウント情報の見直しとログインしているデバイスの総ログアウト
まずどこからログインされるかわからないので、Steamに紐付けしているメールアドレスとパスワードの変更する、
まずはSteamメイン画面の「Steam」タブから「設定」をクリック、最初の「アカウント」の欄からアドレスとパスワードの変更を行う(webブラウザなら「アカウント名」から「アカウント詳細」)
その後「Steamガード・アカウントセキュリティ管理」から「すべてのデバイス認証を解除」をクリック、これによって自身のアカウントにログインしている端末はすべてログアウトされるので、変更されたパスワードで再ログインする。
これによって「ID・パスワード」流出といった視点からの不正アクセス対策は万全、最後にスマホに「Steam」アプリをインストールして、電話番号の紐付けなども行っていると安全性が上がる(まぁ今回はそれでもこのような事態になったわけだが…)
対策3.アンチウイルスソフトのフルスキャンを行う
他に考えられる流出元として「マルウェアに感染している」事があげられるので、アンチウイルスソフトでフルスキャンを行って、不審なプログラムがないか確認しよう。
最後に.今回の被害を取り戻すことはできない
今回の件はもちろんSteamにも問い合わせたが、
「コミュニティマーケットでの取引はすべて最終的なものであり、取り消しや返金はいたしかねます。 アイテムがコミュニティマーケットで購入されると、その代金が買い手のSteamウォレットから売り手に送られます。 購入を取り消すということは、売り手のウォレットから資金を取り出すことを意味し、Steam全体に渡る混乱や購入トラブルにつながる可能性があります。」
との返事を頂いたため、今回の被害は勉強料と捉えることにした、
「ゲームタイトル」はもちろんの事、タイトルをプレイして得た「アイテム」もユーザーの貴重な財産であり、楽しんでプレイした証です、それを無断で売りさばき、自分の懐に入れられた事が、今回痛かったと感じています。
今この記事を読んでいるあなたも、自分のような思いをしないよう常日頃からアカウントのセキュリティの確認や、定期的なウイルススキャンなどを気にかけてくれると、自分も勉強料を払った買いがあると思います。
追記:どうすれば防げるのか、最近増えてるsteamのアカウント乗っ取り
この記事をアップしてしばらく経つが…「私もやられました…」というコメントが定期的に来る、
「さすがに狙われすぎでは?」と思い、steamのアカウント乗っ取りの背景や対策方法を調べて記事にしてみた。
そちらで考えうるセキュリティ対策を書いたが、そちらの記事のコメントにて他の方法等があればぜひコメントしてほしい。
コメント
こんにちわ、今日steamを開いたら今記事のような状態になっていました。dota2とゆう名前のゲームのアイテムを勝手に取引されていました、2000円以上失ってしまって今ネットでなにかないかと探していたら今記事を見つけました。もう戻らないのでしょうか、それと購入していたゲーム(テラリア)などが返金リクエストもされていました。パスワードなども変えましたがsteamには2段階認証などの機能はないのでしょうか?教えていただけると幸いです。
コメントありがとうございます、
ブログの最後の方にも書いてありますように、Steamに問い合わせても返金の可能性は低いですが、ゲームの返金までされているのならより悪質なので、まずはSteamへの問い合わせをしてみるのも良いかと思います。
それとブログに記入していなかったのですが、SteamにはSteamのアプリとの連携機能があり、パソコン版SteamへのログインをスマホのQRで行えたり、ログインする際にショートメッセージで6桁のコードを確認して打ち込まないとログインできない2段階認証等が行えるので、
ブログに記載した対策と合わせて行うと、今後同じ被害を受ける確率はグッと減ると思います。
実績のバッジは難しいかもですが、せめてゲームの返金リクエストがキャンセルされることを祈ります。
ちょうど最近うちのアカウントもDOTA2のアイテムが購入されていました。売り手はden◯yという人でしたが違うアカウントでも起こっているかもしれません。
売り手のアカウントにはポルトガル語で罵る内容が書き込んであったので同じ被害に遭っているようでした。
アイテム購入以外に何かされていないか明確ではないですが、クレカ情報の悪用や購入したゲームの削除とかもっと悪質な事をされたら大変なことになりそうですね。
私もこれやられて、めちゃくちゃ通知きてビビりました
今久しぶりにsteam開いたら4000から2円になってて調べたらこの記事にたどり着いた。
ほんと泣きそう
こちらの記事を参考に対策を一通り施しておきました。ありがとうございます。
ウォレットの残高は千円程度でしたが、どうやらサポートは期待できそうにないので今後は残高を残すのは控えておいた方が良さそうですね。
にしてもDOTA2ってゲームへの印象が相当悪くなりました。民度低そう
今さっき開いたら私もやられてました…
すごく頑張って手に入れたカードを全部売られ
Dota2とかよくわからないのになってました…
実費で購入したのもあり辛いです
戻ってこないんでしょうか?
Steamさんにはこういうのを期にマーケットへ出品する際本人確認のメールを送って頂きたいですね…
一応意味があるか分かりませんが、具申してみます。
経路がわからないのですがうっかり踏んでしまったのかも知れません、ウイルスソフトくんは働いてなかったみたいです。
長文でごめんなさい、それほどショックだったので。