【マイクラJE】マルウェアFractureiser騒動について

6月7日に起きた騒動であるためタイムリーな情報ではありませんが、マイクラのMOD導入方法を扱うサイトとして、必要であるならば注意喚起の記事も書いた方が良いと思いましたのでこの記事を書くことにしました。ある程度まとめてはいますが完全ではありませんので、この記事を読み終わった後に他のサイトやYouTubeなどの他媒体でも調べていただくと良いかと思います。

過去にMODを導入して遊んだことがあるユーザーは、必ずマルウェアチェックを行ってください。なお、本サイトで扱ったMODのみを導入している場合は、感染の可能性は低いかと思います。

Fractureiser騒動とは

6月7日、reddit上に「CurseForgeの一部のアカウントは侵害/ハッキングされており悪意のあるファイルをアップロードしている可能性があります」というスレッドが立ち上げられました。その後、Bukkitでも同様の現象が確認されたためOverwolfのプラットフォームがハッキングを受けたのではないかという噂が立ちました。

しかし、調査が進み、Overwolfのプラットフォームがハッキングを受けたわけではないことがわかります。こちらのツイートがCurseForgeの調査内容です。

We are looking into an incident where a malicious user uploaded projects to the platform. This is relevant only to Minecraft users and we have banned all accounts involved.

CurseForge itself is not compromised in any way! Please follow the thread below for more information 👇

— CurseForge (@CurseForge) June 7, 2023

調査の結果、ことの発端はCurseForgeにアップロードされていたDungeonX（製作者：Fractureiser）にマルウェアであるFractureiserが仕込まれていたことのようです。なおこのMOD製作者は他にも複数のMODを公開していました。

このDungeonXなどのMODをダウンロードした他のMOD製作者たちが、自身のPCがマルウェアに感染していることに気が付かずにMODを公開したことで、マルウェアが広がり、今回の騒動が起きたようです。

問題が発覚したのは6月7日ですが、2023年4月頃から影響が出ていたと考えられています。

Fractureiserが及ぼす影響

Fractureiserは感染しているファイルをダウンロードしただけでは活性化せず、ダウンロードしたファイルを実行した場合に活性化するようです。つまりMODを導入したMinecraftを起動した場合にFractureiserが活性化するということになります。

活性化すると悪意あるファイルを自動でダウンロードします。その後PCを再起動したり、マイクラを起動させたりを繰り返すことでFractureiser自身のステージが上がり、都度悪意あるファイルをダウンロードしていくようです。

Fractureiserが活性化すると以下のような影響を及ぼすとされています。

• 自信をファイルシステム上のすべてのファイルに伝播する。
• WebブラウザのCookieとログイン情報を盗む。
• クリップボードに保存されている暗号通貨アドレスを盗む。
• Discordの認証情報を盗む。
• MinecraftとMicrosoftの認証情報を盗む。

マルウェアチェックの方法

Oberwolfの診断ツールを使うことが最も簡単な確認方法と思われます。こちらは悪意あるファイルがダウンロードされているかを確認するツールとなります。下記GitHubからdetection-tool-0-0-2-win.exeをダウンロードします。ダウンロードはリンクをクリックするだけです。

ダウンロードしたdetection-tool-0-0-2-win.exeを実行して、「Scan」をクリックします。

このように表示されれば問題は確認されなかったということになります。

続いて感染したMODがないかを確認します。こちらもOberwolfが提供しているものを利用すると簡単です。下記GituHubからjar-infection-scanner.zipをダウンロードします。

ダウンロードしたら.zipファイルを解凍してJarInfectionScanner.exeを実行します。

「Folder/File:」にMODを導入しているフォルダのパスを指定します。本サイトを参考にゲームディレクトリを指定している場合はC:\Users\ユーザー名\AppData\Roaming.minecraft Game Directoryとなります。ユーザー名の箇所はご自身の環境に合ったものに変えてください。

.minecraft直下であればC:\Users\ユーザー名\AppData\Roaming.minecraftです。

CurseForge Appを使用している場合はC:\Users\ユーザー名\curseforge\minecraft\Instancesです。

フォルダのパスを指定したら「Scan」を実行して、Scan complete – no infected files foundと表示されれば問題は確認されなかったということになります。

以上がマルウェアのチェック方法ですが、これを試したからといって100%安心できるとは言い切れません。Fractureiserについては判明していないことが多くあるため、影響の程度も不明です。引き続きMODの利用は自己責任でやっていくよう心掛けましょう。

今後の対応

CurseForgeはこの問題についての対応を完了しており、Fractureiserに感染していると思われるMODは、現時点ではCurseForgeから削除されている模様です。問題があると思われる製作者のアカウントも停止しているようです。Bukkitに関しても運営がOverwolfで同じであることから対応が完了しているものと考えられます。

一方、Fractureiserは比較的新しいマルウェアということで、まだ判明していないことがあるようなので、第2、第3のFractureiserが出てくる可能性も考えられます。

そのため当面はダウンロード数が少ないMODや、ユーザー登録してから間もない製作者が公開しているMODには最新の注意を払う方が良いかと思います。

補足

• 今回の騒動はOverwolf関連で起きています。CurseForgeと並ぶ主要MOD配布サイトであるModrinthでは、公式曰く確認されていないようです。
• Fractureiserは現段階ではWindows OSにのみ影響を及ぼすようです。Macには対応していないとのことです。
• 仮に感染していた場合はWIndowsの初期化が必要とのことですが、初期化だけでは悪意あるファイルが消えなかったとの情報もありました。感染していた場合は対処法について詳しく調べられることをおすすめします。
• 製作者個人のWebサイトはFractureiserの対象外という情報もありますが、製作者個人がFractureiserに感染していたなら危険性は変わらないと思います。むしろ、Fractureiserに感染しているかのチェックを行っているか不明なため、注意を払う必要があると考えます。

最後に

駆け足の記事になりましたが、要点は一応抑えているかと思います。特にマルウェアチェックの方法についてはぜひ試していただけたらと思います。

前述しましたが、この騒動についてはまだ情報が出そろっていないため、ご自身で色々な情報をキャッチアップしに動かれると良いかと思います。

以上です。