アカウントハックされた際の対処法、また手口や対策についてのお話

本記事は、二段階認証やSteamモバイル認証がされていることを前提としております。
Steamモバイル認証をされていない方は、下記のフロー通りの操作をしても復旧できない可能性があります。

間違ったことを書いているわけではないため、問題はないと思いますが、本記事の内容の実行はあくまで自己責任でお願いします。
特にログイン周りのリセットと二段階認証の削除などを間違えないように気をつけてください。

アカウントハックをされてしまった場合

本記事ではアカウントハックを、IDとパスワードが流出もしくはログイン権限の情報がハッカーに手にわたり、プロフィールの内容を操作された、他ユーザーに対して勝手にトレードオファーを送信された状態と定義します。

まず落ち着いて対処することから始めましょう。
プロフィールに「あなたのアカウントはBANされる可能性があります」といったテキストが表示された場合、VAC BANされてしまうのではないか、スキンが使用できなくなるのではないかなどの心配がよぎり、非常に焦っている状況かと思います。
しかしこれは詐欺をする側にとって非常に有利な状況であり、行動を急がせ、判断力を低下させるという目的があります。

適切な対処をすればBANもされませんし、アイテムの盗難もされません。

取るべき行動は下記の通りです。
落ち着いて対処をしてください。

1. マルウェアやウィルスのスキャン

2. 使用メールサービスのパスワードを変更する

3. Steamのパスワードを変更する

4. 再度ログインを行う

5. Steamのログイン認証を削除する

6. API Keyを削除する

現在の状況としては、あなたのSteam ID（もしくはメールアドレス）とパスワード、もしくはログインセッションの情報が流出しています。

流出した経路は、

1. フィッシングサイト

2. 悪意のあるブラウザ拡張機能

3. マルウェア

などが考えられます。
別の安全なPCや拡張機能を利用していないブラウザがある場合はそちらで作業をするのが安心です。
フィッシングサイトが主な経路ではあるので、基本マルウェアの可能性は低いですが、念のため。

1. PCのウィルス、マルウェアをスキャンする

作業PCに2,3が入っている場合、作業が無意味になる可能性が高いので、マシンのウィルス、マルウェアスキャンを実行してください。

Windows Defenderでのスキャンで問題ないでしょう。

アカウントハック経路の多数はフィッシングサイトではありますが、念のため。

2. 使用メールサービスのパスワードを変更する

主にGmail、Yahoo!メールなどを使っており、Steamと同じパスワードを使いまわしているようであれば、こちらもハイジャックされている可能性があります。
Gmailなどではもし不審なログイン履歴が表示されているようであれば確実に行ってください。

変更後、再度ログインができていれば問題ないです。

3. Steamのパスワードを変更する

Steamのパスワードが流出していることが考えられるため、こちらも変更します。
これにより流出したパスワードで再度ログインを試行されることを防ぎます。

上記ページから変更できます。
もしくはSteam右上のアカウント詳細を開くことで該当ページへ到達できます。

変更後、再度ログインを行ってください。

4. 再度ログインを行う

再度ログインを行います。

5. ログイン情報を削除する

ログイン情報、Cookieからのログインを無効にします。

SteamのCookieはこちらから無効にすることが可能です。

上記ページ、もしくはアカウント詳細のSteam Guardの箇所から全てのログイン情報を削除してください。

Steamモバイルアプリからでも削除を行うことは可能です。
手間ではありますが、個人的にはこちらで行うほうを推奨しております。

1~4の作業を行うことで、ハッカーはあなたのアカウントに対してアクセスを行うことが不可能になります。

6. API Keyを削除する

こちらのページから現在発行しているSteam Web API Keyを削除します。Revoke my steam web API keyから削除することができます。

ハッカーはAPI Keyを使うことで、トレード周りの情報や、トレードオファーの取り消し、トレードオファーの作成が可能になるため、その手段を無効にします。

API Keyの削除を済ませたことにより、アカウントは正常な状態に保たれたはずです。

しばらくの間、自身のアカウントに異常な動きがないかを注意深く監視してください。

アカウントハックされたときに行ってはいけないこと

ハッカーがどのような方法であなたのスキンを盗むのか？と言う題が適切かもしれません。

少々前座が長くなってしまいますが、Steam Guardという強力なセキュリティを認証しないと、あなたのアカウントにログイン、スキンのトレード、スキンの販売を可決することはできません。

もちろんSteam Guardを認証することができるモバイル端末がハイジャックされてしまったら無意味ですが、端末が盗難される、もしくは仮想デバイスを使用し情報が抜かれるみたいなレアパターンは除き、基本は物理端末を使用しているのでそのようなことはないでしょう。

Steam Guardはセキュリティの最後の防衛線です。
ハッカーは人間の認知の抜け道をついてその防衛戦を突破しようとしてくるのです。

行ってはいけないこととしては、『サブアカウントやフレンドに対してスキンのトレードオファー』を行うことです。

さてなぜでしょうか？ハイジャックされたアカウントから高額なスキンを避難させるのは最初に行うべき行動かと思います。ハイエンドPCを1台組めるような額のスキンが凍結されたらつらいですからね。

『5. API Keyを削除する』の項目で書かれていたことをきちんと読んでおり、想像力を働かせることができた方なら想像はつくかもしれません。

トレードの情報を取得し、トレードオファーを取り消し、トレードオファーを作成することが可能になるのです。

つまりは自分のサブアカウントに対して送ったトレードオファーをAPI経由でキャンセルし、ハッカーが用意したサブアカウントと同様の名前、アイコンのアカウントに対して同様のトレードオファーをAPI経由で作成することができるのです。

トレードを可決する際はSteam Guardの認証が必要というのがミソです。

『自分のアカウントに対して、自分でトレードオファーを作成した』ため、Steam Guardに送られてきた認証は自分が行った動作で違いないという先入観が存在し、あなたは注意深く確認せずにSteam Guardを認証してしまうとのです。

この一連の操作を行ってしまうと、スキンが無事ハッカーの手に渡ってしまいます。

別アカウントに対してスキンを移すなどの動作を行う場合は、アカウント復旧方法を全て行った後に行ってください。

アカウントハックの経路について

さて、あなたがアカウントハックをされた経路について解明しておきましょう。
一番多いパターンは、Counter Strikeのスキントレード、ギャンブル、スタッツサイトなどに似せて作られたフィッシングサイトです。

知らないユーザーからのリンク送信や、TwitterなどのGiveawayツイートのURLを始め、様々な方法で精巧に作られたフィッシングサイトのURLがばらまかれています。

ハッカーがSteam Guardを突破してきたと言われる方が多くいますが、それは全くの間違いで、あなたがハッカーから送られてきたSteam Guardを認証しハッカーをログインさせてしまったのです。

上記の経路で利用可能なログイン情報を渡してしまった場合、時間差で突然ハッカーはあなたのアカウントに対して攻撃を仕掛けてくるのです。

アカウントハック復旧後の対応

フレンドに対してフィッシングサイトURLなどのメッセージが送られている可能性もありますので、告知するのが良いかと思います。

CS2 Playerの場合、Primeが無効になっているかもしれませんが、このページから復旧リクエストを送れます。

ホーム > ゲームとアプリケーション > Counter-Strike 2 > DLC やボーナスコンテンツが見つかりません　からでも到達できます。

よくある誤解

Steam Web API Keyとは？

Steamへのログインを必要とせずに、アカウントの情報取得、トレードオファーの作成、取り消しなどを行えます。

API Keyを使うことによって、第三者がトレードを操作することができます。

技術者の方はAPIリファレンスを見てもらうと早いかもしれません。
https://partner.steamgames.com/doc/webapi/IEconService

APIでできないこととしてはプロフィールの書き換え、Steam Community Market利用、ゲームの起動です。
つまり、上記のことを行われていた場合、あなたのアカウントはAPI以上のものが流出しているということです。

Steamのログイン経路について

Steamにログインする方法は主に3種類あります。

第1にサードパーティサイトへのSteamログインです。

正確には、Steam OAuthというSteam Web APIの一つで、API keyよりは弱い権限のはず。

これを使うことで第三者はユーザーのプロフィールやインベントリなどの情報にアクセスすることができます。

逆にそれ以外はできないので、これ経由でサインインを行っても、アカウントに対して強力な操作はできません。

さて問題なのは第2、第3のほうです。

第2の方法として、Webブラウザ上で上記のログインを行う方法があります。

こちらのログイン画面と第1で上げたログイン画面では、アカウントに対して行える操作が全くの別物です。

プロフィールの変更、購入したゲームやDLCの削除、フレンドの操作、メッセージ送信、アイテムの販売、トレードの送信、API Keyの発行…様々なことが可能です。

つまりは普通のSteamクライアントとほぼ同じですね。とても強い権限があるため利用する際はアカウントIDとパスワード、さらにSteam Guardを使用しないとログインできません。

Steam Guardが突破されたと言っている方はほぼ100%無意識のうちにこの画面に似た画面を表示させられ、自らSteam Guardを解除し、ハッカーにログイン情報を渡してしまっていることが考えられます。

なお、Webでのログインの場合、ゲームを起動することはできません。

そして最後に問題なのは第3の方法、つまりSteamクライアントアプリケーションからのログインです。

クライアントでのログインの場合、ゲームの起動なども行うことが可能になります。
つまり、ハイジャックしたアカウントでチートを実行することができ、VACをさせられてしまいます。

Steam Guardについて

もし本当にSteam Guardを突破できる脆弱性などがあるようなら、数十万程度のショボいインベントリなど狙うよりも、数百、数千万のバリューがあるインベントリを狙うほうが合理的ですし、そもそももっと多くのユーザーが被害に遭っているはずです。

10年以上Steamを利用しており、何度もサードパーティサイトを利用したことがありますが、今まで一度もSteam Guardを突破されたようなことはありません。

Steam Guardが開発される前の時代は、アイテムの盗難が遭った場合ロールバックなどの対応がありましたが、開発されてからはロールバック無しの自己責任となりました。
つまりそれだけ強固なセキリュティと

アカウントハックされないためには

1. Steam Guardを導入する

2. 不用意にURLをクリックしない

3. サードパーティサイトを使うときはhttps://steamcommunity.com/ 経由でログインを行う

4. パスワードを見直す

5. LANパーティは気をつける

1. Steam Guardを導入する

家に鍵をつけると同レベルの常識です。

上記リンクから導入できます。

Steam Mobile AppではQRコードでのログインなど、パスワード入力よりセキュアなログイン方法も提供されています。

2. 不用意にURLをクリックしない

Web広告などで表示された有名トレードサイトのリンクがフィッシングサイトだったという例はたくさんあります。

あなたが何気なくRTしているGiveawayツイートも実はフィッシングサイトだったりします。

そしてSteamのURLやUIに似せたサイトも無限にあります。
この記事内にもURLがいくつか貼られていますが、開いた後に正規のSteamのページか確認しましたか？

安全だろうというバイアスがアカウントハックに繋がります。

3. サードパーティサイトを使うときはhttps://steamcommunity.com/ 経由でログインを行う

サードパーティサイトでSteamのサインインを求められ、IDやパスワードを入力することになった場合、ブックマークや検索から正規のSteamを開き、ログインをするように習慣づけましょう。

普段WebブラウザでSteamを利用していた場合、そもそもIDやパスワードを入力することになることはないはずなので、求められたらそれはもうフィッシングサイトです。

4. パスワードを見直す

パスワード、簡単な文字列にしていませんか？
そしてパスワードを使いまわしていませんか？
Steam関係なくヤバいので、複雑なパスワードにしましょう。

英数字、大文字、記号を複合して利用し、一定の長さ以上にすることが望ましいです。

経済的に余裕のある方は、1Passwordなどのパスワード管理サービスを利用することをお勧めします。

5. LANパーティ

席を外すときはログアウト、入力情報を見られてないか気をつける、端末盗まれないようにするなど気をつけましょう。

知り合いだけだから大丈夫だろうという考えをすると破滅を招きます。

おわりに

CS2のスキン記事などはよく見かける気がしますが、セキリュティ周りの記事は見たことがないので今回筆を取ることにしました。

自分は遭わないだろうと思っている人ほど遭うものです。今一度自分のアカウントのセキュリティを見直しましょう。

少々面倒ですが、3. ログイン情報を削除する は、現在アカウントハックの被害がなくてもやっておくことをおすすめします。
ほんといつなにをやったかなんて人間覚えてないし、いつ攻撃されるかなんてわからないので、定期的にね。

本記事で言及した内容は基本的な部分のみで、詳細な部分については言及しておりません。
興味のある方はぜひ自主的に調べてみてください。自主的に調べることが一番身につきます。
Steamのフォーラム、有名トレーダーのSNSやYoutube、Redditなどを見ると数多くの情報を入手することができるでしょう。

役に立ったからDonateさせてくれみたいなもの好きの方がいましたらこちらにて受け付けております。
https://steamcommunity.com/tradeoffer/new/?partner=74133754&token=n1h_h2j8

反響がありましたらSteamトレード史だったりCSGO、CS2のスキンについての解説などのコンテンツを執筆しようかなという気持ちがあるので、ツイートの拡散や、スキなどでリアクションをいただけるととても励みになります。

以下PostでGiveawayやってるので、ぜひ拡散してあげてください。

セキュリティエンジニアの方へ

セキュリティ分野のエンジニアではないため、記事に不適切な表現や過不足などがありましたら、リプライやコメントなどでマサカリお待ちしております。