「Cities: Skylines II」でModによる潜在的なセキュリティの問題が判明

2024年10月31日、「Cities: Skylines II」でMod「Traffic」に悪質と思われる.dllファイルが含まれていたと発表がありました。

Modによるセキュリティの問題

Read the full statement here ➡️https://t.co/czXAAdo49j pic.twitter.com/umwdD3VHx6

— Cities: Skylines (@CitiesSkylines) October 31, 2024

2024年10月31日、「Cities: Skylines II」でMod「Traffic」に悪質と思われる.dllファイルが含まれていたと発表がありました。この.dllファイルは月曜夜（日本時間では火曜朝ごろか？）に行われた外部者からのアップデートに含まれていたとのこと。既にこのファイルは削除されており、中央ヨーロッパ時間10月31日15:35（日本時間同日23:35）現在のバージョンは安全に使用できるようになったとのことですが、Modを同期して月曜以降にこのModを使ってゲームをプレイしていた場合、悪意のあるファイルが含まれている可能性があるとされています。

この.dllファイルの性質は現在調査中とのこと。それまでの間、できるだけ早く以下の手順に従って対応してほしいと述べられています。

• Mod「Traffic」を使ったことがなく、サブスクライブもダウンロードもしていないなら、対応する必要はない。
• Mod「Traffic」を使っていて月曜日から今日にかけて「Cities: Skylines II」をプレイしていない場合は、Modを通常どおり同期させれば悪質なファイルは自動的に削除されるはずだ。それでもWindows Defenderのようなマルウェア対策プログラムでシステムをスキャンしてもらいたい。
• 影響を受けたバージョンを使用してプレイしている場合は、ローカルファイルを確認してほしい。悪質なファイルがインストールされている場合、「%localappdata%low\Colossal Order\Cities Skylines II\.cache\Mods\mods_subscribed\」の「80095_13」フォルダー内にある。
  • 悪意のあるファイルが含まれているのは「80095_13」フォルダーのみであり、このフォルダーが見つからない場合はこのModの問題のバージョンは入っていない。
  • このフォルダーが見つかった場合は、ウイルス対策ソフトやマルウェア対策ソフトを使って隔離し、システムから削除し、ドライブを完全にスキャンしてほしい。
• 予防措置として、パスワードを変更することをお勧めする。

また、Modの安全・安心を確保するため、以下の対応を進めているとのこと。

• Paradox Modsにアップロードされたすべてのファイルを調査し、他のModに予期せぬアップデートがないか確認する予定。
• 問題のあるModの制作者に連絡し、彼らのアカウントを保護するための推奨される手順について話し合った。彼らは「Traffic」を安全なバージョンv.0.2.4に更新している。
• Modが更新された際に制作者に通知を送るようParadox Modsを更新し、Mod制作者が自分で行っていない変更について素早く警告されるようにした。

続報（2024年11月5日追記）

発表が行われたフォーラムのスレッドに更新があり、調査の結果、「（注：問題の.dllファイルが）マルウェアであろうという疑いは正確であったと考えている」「その目的をこれまでのところ100％確認することはできていないが、システム上の仮想通貨ウォレット、特に『Exodus（注：このような名称の仮想通貨ウォレットアプリがあるようです）』を標的とするよう設計されたファイルであると考えている」「目的にかかわらずこのファイルは十分に不審な動作をしており、やはり有害であると考えるべき」と述べられています。

さらに、「一般的な予防措置としてアンチウイルス・アンチマルウェアソフトをアップデートしてほしい」「Paradox modsにアップロードされたModも一般的な予防措置として常にウイルススキャンされている」とのこと。

最終報（2024年11月8日追記）

本件に関する最終報が公開され、やはり上で取り上げられた仮想通貨ウォレット「Exodus」の情報を盗むことを目的としたDLLハイジャック攻撃であることが判明したとのこと。悪意あるファイル（fastmath.dll）がゲーム実行ファイルにロードされると、このDLLはコンピューターのAppDataフォルダーで仮想通貨ウォレット「Exodus」を検索する動作をするものだったようです。「仮想通貨ウォレット『Exodus』がコンピューターにない場合、このマルウェアは有害ではないはずである」とのこと。

仮想通貨ウォレット「Exodus」がコンピューター上にある場合

「『C:\Users\<ユーザー名>\AppData\Local\exodus\app-<バージョン番号>\profapi.dll』のセカンダリDLLファイルを手動で削除することを勧める」とのこと。「Exodus」に関する問題があった場合は、同サービスのFAQや公式セキュリティガイドを参照してほしいと説明されています。

コードMod使用に関する一般情報

「リスクを最小限に抑える努力はしているが、プログラムの内容を変更するModのダウンロードには、配布されているプラットフォームにかかわらず、常に固有のリスクが存在する。検出ツールよりも早く変化することがあるため、マルウェア問題が起こらないことを保証することはできない。こうした問題を完全に防ぐにはコードModを禁止する必要があるが、そのような措置は避けたいと考えている」「何か異変に気づいたら、Paradox Modsプラットフォームで問題のModに関する報告を行ってほしい」とのこと。

該当のMod「Traffic」は記事執筆時点で36万以上のサブスクライブ数となっており、影響を受けるプレイヤーはかなり多そうです。

Modについては前作「Cities: Skylines」で2022年に他のModに対する嫌がらせスクリプトを入れていたという問題が起こっていましたし、「Minecraft」などの人気タイトルではModによってマルウェア感染が広がっているということが2021年に報告されていました（その後、2023年には「Minecraft」でModによるマルウェア感染が話題になっていたようです）。

Modプラットフォームを運営する以上はセキュリティの確保に特に気を遣ってもらいたいというのはもちろんですが、その上でModユーザーとしても「Modは第三者が作成したファイルを取り込んで実行している」というリスクを認識しておきたいところです。