PS4 Steam ゲーム スト5

PC版ストリートファイター5のrootkit問題。

PC版ストリートファイター5の2016年9月23日に行われたVer.1.09アップデートrootkitが仕込まれていた事が大問題となってますね。

私はそもそもアプデをしていなかったのでセーフっぽいんですが、ウィルスならまだしも(いやウィルスでも超大問題ですがw)調べてみればみるほどrootkitというのが非常に厄介なヤツでした。

(2016年9月30日 追記)
公式にてこの件のアナウンスがありました。セキュリティリスク回避の方法や不要データ削除ツールの近日配布なども書かれておりますのでこちらもあわせてご覧下さい。

事のあらまし。

事の時系列は格ゲーチェッカーさんの記事を引用させて頂きたいと思います。

  • 9月23日11時頃:「Ver.1.09」アップデートが実施。PC版には追加で「チート対策(セキュリティ強化)」が盛り込まれていた。(参考1 / 参考2
    米カプコン公式ブログでは、この「チート対策」がウィルス対策ソフトなどに検出される可能性があるため、実行ファイルを例外に登録するよう指示が行われた。(参考
  • 9月23日14時頃:海外向けSFツイッターが、PC版アップデートの問題に対して調査を開始したことをツイート。(参考
  • 9月24日05時頃:海外向けSFツイッターが、アップデートをロールバックに向けて動き出したことをツイート。(参考
  • 9月24日09時頃:海外向けSFツイッターが、ロールバックするアップデートを配信開始したとツイート。(参考
  • 9月24日14時頃:日本公式ツイッターが、ゲームが起動できない症状に対する暫定措置を行なったことをツイート。アップデート手順が掲載。(参考 / 参考2
  • 9月27日:セキュリティソフトを扱うシマンテックにて、「rootkit driver」と判定。危険度・低ながらもセキュリティリスクが認められた。(参考
  • 9月28日13時頃:日本公式ブログにて、各種問い合わせがあり現在調査中、進捗があり次第報告する旨の告知が行われた。(参考
  • 9月30日10時頃:日本公式ブログなどにて、アップデートに一部セキュリティリスクのあるプログラムが含まれていたことを確認したとの報告あり。ただし、9月24日に改めて行われたアップデート(下記手順)を実行することで、セキュリティリスクの回避も可能としている。また、不要となったデータを削除するためのツールを作成中とのこと。(参考 / 参考2
  • 10月1日10時頃:日本公式サイト・シャドルー格闘家研究所にて、アップデートに含まれていたCapcom.sysに脆弱性(セキュリティ上の問題)があったことを発表。また、問題のあるファイルを削除するツールを公開(Steamよりアップデートで入手)。(参考

情報は常に更新されているようですので、最新の状況は上記リンクからご確認下さい。 そう、この「チート対策」が悪夢の始まりでした。

どんな内容?

内容につきましてはチゲ速さんのまとめを見て頂いたほうが分かりやすいと思いますのでご紹介させて頂きます。

Ver.1.09アップデートでは、PC版のセキュリティ強化として実装されたチート防止機能の中に、capcom.sysというrootkitが含まれていたことが判明しています。
9月24日現在配信されているアップデートを適用しても、Ver.1.09でインストールされたcapcom.sysは削除されていないという報告が寄せられています。

で、このcapcom.sysはどんな動きをするのかと言いますと、引用ばかりで本当に申し訳ありませんが本の虫さんに詳細がありましたのでご紹介致します。

PC版ストリートファイター5のアップデートに含まれているカーネルドライバー、capcom.sysは、IOCTLでサービスを提供する。その挙動は、まずSMEPを無効にし、呼び出し元の指定したポインターの参照するユーザーモードのアドレス空間上のコードを実行し、SMEPを再び有効にする。
とんでもない脆弱性で、ユーザーモードからカーネルモードでの任意のコード実行を可能にするので、rootkitに分類できる。

なおこのcapcom.sysシマンテック先生より問題のあるファイルとしてしっかりお墨付きを頂く結果となった模様です。
しかし大企業のやることかいなコレ・・・。

rootkitとは何ぞや?

しかし私、いかんせん浅い人間ですから説明を見ても「・・・???」となりまして。ええ。

そんなこんなで調べたんですが、『ASCII.jp』さんがしっかりレクチャーしてくれました。この記事はルートキットがセキュリティソフトに検知されない様に隠ぺい動作をするタイプに焦点を当てている話ですが、何となくどうヤバイのかが多少なりとも理解出来るのではないかと思います。
特にカーネルモードのルートキットの場合には、管理者を含めたユーザーが目にすることはない深い部分でシステムを書き換えているため、検出や削除に苦労を要します。システムファイルを書きかえられてしまうと、システムの起動ができなくなることもあるため、簡単に削除などはできません。最悪の場合、OS自体の再インストールという自体に陥ります。

といった様にOSの根幹からシステム書き換えられてしまう為、まず普通には手の届かないところにセキュリティーホールを作られた挙句、セキュリティソフトが検知出来ないように隠蔽しながらウィルスやマルウェアの浸入を容易にさせる、といった最悪の状況が考えられそうです。

とはいえcapcom.sysがどこまでブッ込んでくるのかはまだハッキリとした被害の事例も無いようですので、現状は何とも言えないんですが。

あ、そういえば。

すっかり忘れていましたが大分前に自前でルートキットを入れてたことがありました。先代のスマホ

スマホを購入したての時にはプリインストールされている色々なアプリがありますよね?例えばこういうアプリが邪魔に感じて削除したくてもシステムに組み込まれているのかアンインストール出来ない物ばっかりだったりします。

そこでルートキット化する事でOSの内部にまで入り込めてカスタマイズ出来る権限を持つ事になりますので、こういう邪魔なアプリも削除出来たりします。もちろん余計なものまで消して文鎮化しても保証外なので自己責任の上です。

と、考えるとシステムの内部に踏み込めるというのは自分の意思で入れるのと、自分の知らないところで入っているのでは非常に大きな違いですね。うーむ考えただけでも怖い。

現時点で出来そうな対策。

とりあえず的にまずこのcapcom.sysを排除したほうが良さそうです。もふもふさんが指南している方法でやってみましょう。

このcapcom.sysがある人もいれば無いと言う人もいるみたいですね。単純に一覧に無ければセーフなのかなぁ?私はそもそもアプデしていなかったのでcapcom.sysも入っておらず大丈夫だとは思ってるんですが・・・なんかもう疑心暗鬼です。 最悪、OSの再インストールしなくちゃならないんでしょうか。

冷静職人でお願いします。

ただ今回の一件だと悪意の有無はともかく形式的にはカプコンがrootkitを仕掛けた=「攻撃者」という形になってしまうと思うんですが、そのrootkitで作った脆弱性を突いてカプコンがウィルスなどを放り込んできたりするとは考えにくいところかなーとも思います。

んじゃカプコン以外の第三者がこのセキュリティホールを悪用したら?とかもう考え始めたらキリがない気がしますので、そのうち私は考えるのをやめた。

なお現在調査中との発表もありましたので(めっちゃ歯切れの悪い発表でしたがw)公式のアナウンスがあるまでは慌てず騒がず、またこういう時ほど悪質なデマも広がっていくことが多い気もしますので冷静に動向を見守るのも大事かと思います。

もちろん気が気ではありませんけども。