Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

人気オンラインゲーム『Roblox』のユーザーを狙った詐欺に注意、JavaScript URL や API フォームなどを悪用


2023年11月20日

  • 多くのオンラインビデオゲームでは、プレーヤーがゲーム内でアイテムを購入、交換、または販売するために仮想通貨が使用されます。こうした機能はプレーヤーへのセールスポイントとなり、ゲーム会社の潜在的な収入源になることも多いのですが、詐欺犯がこれに注目しないわけがありません。
  • そうしたゲームの 1 つである『Roblox』は、特に子供たちの間で人気の高いゲームプラットフォームです。今回は、ユーザーサポートフォーラム、YouTube 動画、詐欺犯の Discord チャネルといった、これまでにオンラインで報告されている代表的な詐欺の手口をいくつかご紹介します。詐欺の仕組みについての説明と、詐欺を見破って回避するうえで参考となる情報を掲載しています。

Roblox は「エクスペリエンス」で構成されるゲームプラットフォームです。ユーザーが作成した 3D 世界のことを「Roblox エクスペリエンス」と言いますが、そこでプレーヤー同士で交流したり、他のユーザーが作ったゲームで遊んだりできます。誰でもクリエイターになって、シナリオ、ゲームロジック、アイテムを作成し、全体的なエクスペリエンスのインタラクティブ性を構築できるという特徴があります。

Roblox 自体は無料でプレイできますが、ユーザーのアバターの衣装、武器、その他のアイテムを購入する際には「Robux」というアプリ内の通貨が使用されます。こうしたアイテムの一部は数量限定で販売されており、現実世界では数万ドルの価値になるものもあります。アイテムは、ゲーム内の取引システムを使用して他のアイテムや Robux と交換することもできます。これにより、収益性の高い市場が生まれる可能性があります。利用規約で現実世界の通貨による取引が禁止されているにもかかわらず、プラットフォームの外で交渉し、実際の通貨で取引しているユーザーもいます。

金の匂いがするところには、詐欺を働こうとする人間も集まってきます。『Roblox』のユーザーは、他のプレーヤーから貴重なアイテムや Robux を盗もうとする詐欺犯(『Roblox』プレーヤーからは「ビーマー」と呼ばれている)の標的になる可能性があります。『Roblox』のユーザーは低年齢層であるため、詐欺犯からすると騙すのは比較的簡単だったりします。6,500 万人のゲームユーザーのほぼ半数が 13 歳未満であり、詐欺をうまく見破ることができない可能性があります。

詐欺を見破る方法

一般的な詐欺とその手口について知っていれば、特定の手口を耳にしたことがなくても見破ることができます。ここから、『Roblox』ユーザーを狙った最も一般的な詐欺の手口をいくつか紹介します。

無料での Robux の提供を謳うフィッシング

詐欺犯は、『Roblox』のゲーム内チャットや別のメッセージアプリを使って、無料で Robux を獲得する方法を教えるといった内容の詐欺メッセージを送信してきます。この詐欺の最も一般的な手口は、『Roblox』関連のテーマや画像を含む Web ページへのリンクをユーザーに送信するというものです。リンク先のサイトでは、無料の Robux を提供すると謳って、自分のアカウントで Robux を受け取れるようにユーザー名とパスワードを入力するよう求めます。ユーザー名とパスワードを入力すると、Robux を受け取れるどころか詐欺犯によってアカウントにログインされてしまい、すべての Robux と貴重なアイテムが盗まれます。

エクスペリエンス内でのフィッシング

Roblox では誰でもエクスペリエンスを作成できます。これは詐欺犯も同じです。Robux の無料提供を約束する悪意のあるエクスペリエンスを作成し、ユーザー名とパスワードをフォームに入力するよう求めるというのがこの詐欺の手口です。ユーザーのログイン情報は攻撃者が管理するサーバーに送信され、自分のアカウントに不正にログインされてしまい、すべての Robux と貴重なアイテムが盗まれることになります。

source: https://roblox.fandom.com/wiki/Scam/Gallery?file=Reward_scam.jpg

JavaScript を使った手口

詐欺犯は、JavaScript コードを含むリンクをコピーしてブラウザのアドレスバーに貼り付けるよう求めてきます。この方法を使用する詐欺は数多く存在します。よくあるのは、詐欺犯がエクスペリエンスを開発しているふりをして、自分のアバター画像をエクスペリエンスで使ってみないかとユーザーに持ちかける手口です。アバターの詳細を自動的に受け取るために、JavaScript コードを含むリンクをコピーしてブラウザのアドレスバーに貼り付けるよう標的のユーザーに求めてきます。そのコードによってユーザーのセッション ID が盗まれ、詐欺犯がプラットフォームを使用して被害者のアカウントにログインし、すべてのアイテムと Robux を被害者のアカウントから詐欺犯のアカウントに転送できるようになります。

ブックマークを使った手口

ブックマークを使った手口は、JavaScript を使った手口のバリエーションともいえます。アドレスバーにリンクを貼り付ける代わりに、ブックマークをブックマークバーにドラッグアンドドロップしてクリックするよう標的ユーザーに求めてきます。このブックマークには、ユーザーのセッション ID を抜き取る JavaScript コードが埋め込まれています。

情報源:https://www.reddit.com/r/robloxhackers/comments/11eofbr/possibly_new_roblox_scam/

API を使った手口

詐欺犯はまず、普通では考えられないほど好条件の取引を持ちかけてきます。次に、取引を続ける前に、標的ユーザーのアイテムが盗まれていないか確認したいと切り出し、そのために Roblox の特別ページにアクセスして ID を入力してほしいと言ってきます。詐欺犯は以下のフォームなどが掲載されたページの URL を教えてきますが、これは実際は Roblox ドメインの一部です。

このページは Roblox API ドキュメントの一部であり、開発者が API をテストする目的で使用するものです。詐欺犯は被害者と会話しながら取引リクエストを作成します。このリクエストを承諾すると、被害者が所有するすべてのアイテムが詐欺犯に転送されてしまいます。詐欺犯は次に、この取引リクエストの ID を被害者に送信し、フォームに ID を入力して「Try it out」をクリックするように指示します。これに応じると、ユーザーは指定された ID で取引を承諾したことになり、すべてのアイテムと Robux が詐欺犯に転送されてしまいます。

HAR ファイルを使用した手口

詐欺犯は、無料で GFX(標的ユーザーのアバターの 3D リアルバージョン)を作成すると持ちかけてきます。GFX の作成方法を学習中なので練習させてほしいという口実を使います。これを承諾すると、開発を完了するには特定のファイルが必要だと言って、そのファイルの入手方法を説明したチュートリアルや動画を渡してきます。次に示すように、このチュートリアルには、ブラウザの開発者ツールを開いて、ネットワークリクエストを HAR ファイルとして保存するように記載されています。

ファイルを保存したら、それを詐欺犯に送信するよう指示されます。このファイルには被害者のセッション ID が含まれているため、詐欺犯は被害者のアカウントでプラットフォームにログインし、すべてのアイテムと Robux を盗むことができます。

2 件の取引

詐欺犯は標的ユーザーに近づいて 2 件の取引を持ちかけてきます。一方の取引は詐欺犯にとって有利であり、もう一方の取引は被害者にとって有利なものです。この取引は、被害者の方が明らかに多くの利益を得られるようになっています。詐欺犯は、両方の取引を承諾するか、両方とも拒否するか、どちらか選ぶようにという条件を出しますが、チャットをしている間に被害者のアカウントから Robux を引き出します。詐欺犯のアカウントには Robux がないため、被害者にとって有利になるはずだった取引は失敗に終わります。両方の取引を受け入れても不利な取引だけが成立するので、結局のところ被害者が損失を被ることになります。

マルウェアのインストール

この手口は、無料の Robux を受け取るために、あるいは被害者にとって興味のある開発を詐欺犯が行うための支援として、特定のソフトウェアまたはブラウザ拡張機能をインストールするよう要求されるという単純なものです。インストールされるソフトウェアは、被害者のセッション ID を抜き取るよう設計されたマルウェアであり、詐欺犯は被害者のアカウントでプラットフォームにログインし、すべてのアイテムと Robux を盗むことができます。

詐欺から身を守る 5 つの方法

一般的な詐欺の手口を知ることは、プラットフォームを安全に使用するための重要なステップです。以下に、詐欺被害に遭わないようにするための推奨事項を示します。

  • 「うまい話には裏がある」と考える:これはおそらく最も重要な推奨事項です。見知らぬ人が無料通貨や無料アイテムを提供すると持ちかけてきた場合、または Web サイトでそう謳われている場合、それはほぼ間違いなく詐欺です。
  • 不明な送信元から送られてきたリンクを開いたり、ファイルをダウンロードしたりしない:これらのリンクは、フィッシング詐欺やマルウェアを送り込む手口である可能性があります。相手のプレーヤーのことを知らない場合、基本的にはリンクを開かないほうが無難です。
  • 通常とは異なるアクションを要求されたら疑う:詐欺の中には、ユーザーが何かしらの技術的なアクションを行うことで成立するものがあります。そうした要求をされた場合は、詐欺の可能性を疑ったほうがよいでしょう。たとえば次のようなものです。
    • ブラウザのアドレスバーにコピーペーストする
    • ブックマークを作成してクリックする
    • ブラウザの開発者ツールを開く
  • 通常とは異なる取引を持ちかけられたら疑う:取引をする際には、次のような危険信号に注意してください。
    • プラットフォームの外で行われる取引
    • 取引相手が通常とは異なるルールを策定する取引(2 件の取引など)
    • 取引交渉中に Web ブラウザ上でのアクション(API フォームの使用など)を実行するよう求められた場合
  • プラットフォームに組み込まれているセキュリティ機能を利用する:Roblox はセキュリティ対策に真剣に取り組んでおり、セキュリティガイドやセキュリティを強化する機能を提供しています。たとえば次のような対策をとってください。
    • 多要素認証を有効にする
    • アカウントのプライバシーを設定する
    • プレーヤーと取引できる人がいる場合、誰と取引できるかを設定する
    • 疑わしい取引を避けるために、取引品質フィルタを設定する
    • 設定を変更する際には必ず個人識別番号を使用する
    • これらを調べて活用することにより、未成年者をより適切に保護できます。次のリンクで追加情報とガイダンスをご確認いただけます。

https://corporate.roblox.com/ja/保護者の方へ/

https://en.help.roblox.com/hc/ja/articles/203313380-アカウントを安全に保つ

 

本稿は 2023 年 11 月 02 日に Talos Grouppopup_icon のブログに投稿された「Attackers use JavaScript URLs, API forms and more to scam users in popular online game “Roblox”popup_icon」の抄訳です。

Tags:
コメントを書く