任天堂の人気ゲーム『ポケットモンスター』の、Windows用NFTゲームを装い、インストーラーにマルウェアを仕込んで配布しているウェブサイトが発見されました。
このサイト「pokemon-go.io」はデザインやつくりもしっかりしており、非常によくできたP2E(Play to Earn)タイプのポケモンNFTカードゲーム紹介サイトに見えます。しかし実際は、プレイヤーにゲームプレイを通じてNFTへの投資利益を提供すると称しつつ、NetSupport Managerと呼ばれる遠隔操作ソフトウェアを仕込んだプログラムインストーラーをダウンロードさせていました。
NetSupport Managerそのものは正規の遠隔操作ソフトウェアなので、セキュリティ対策ソフトにひっかからず導入されることが期待されます。一方で、付属するゲートウェイサーバーを介してインターネットから家庭内のPCへのアクセスを可能にする機能を備えており、攻撃者はスパムやSNS投稿によってユーザーをサイトに誘導、ゲームに見せかけたこのソフトウェアをインストールしたPCに対して、外部からの侵入を試みていたと考えられます。
問題のサイトは株式会社アンラボのセキュリティチームASECが発見しました。ASECは「pokemon-go.io」のほかに「beta-pokemoncards.io」というURLの2つめの偽サイトも発見していますが、記事執筆時点では前者は米国のポケモン公式サイトにリダイレクトされ、後者はサイトへのアクセスができなくなっています。
マルウェアに仕込まれるバックドアツールはだいたいコマンドライン操作式の、ある程度コンピューターの知識を要するものであるのに対し、NetSupportのような一般の遠隔操作ソフトウェアはGUIを備えているため、侵入対象への導入にさえ成功してしまえば、その後の操作が容易だというメリットがあります。ASECによれば、NetSupport以外にも、AnyDeskやTeamViewerなどといった遠隔操作ソフトウェアを利用した攻撃事例があるとのこと。
またNetSupportには画面録画やシステム監視機能、捜査対象とするコンピューターのグルーピング、通信内容の暗号化といった、(悪用にも)便利な機能が揃っているため、遠隔からPCを直接操作して情報窃取をするだけでなく、別のマルウェアを追加導入することも可能です。セキュリティ関係の話題を扱うウェブサイトBleepingComputerは、2020年に新型コロナウィルスに関する情報を記したとされるExcelファイルにNet Supportを添付していたフィッシング事例や、2022年8月に見つかった、WordPressサイトを狙った攻撃でNetSupportが悪用されていた事例を紹介しています。
一方で、ポケモンのキャラクターやその他IPを無断使用して儲けようとするケースも、これまで複数の案件が発生しています。たとえば昨年末には、ポケモンを勝手にNFTゲーム化しようとしたオーストラリアの企業が、株式会社ポケモンの海外事業を取り仕切るポケモンカンパニーインターナショナルに訴えられていました。
今回発見されたサイトからソフトウェアをダウンロードして、何らかの被害に遭ったとの報告はまだない様子です。またすでに問題のサイトはアクセス不能であるため、新たな被害者も発生しない見込みです。とはいえユーザーの側としても、人気キャラクターが使われていたり、(NFT投資やP2E方式で)お金が儲かるといった理由だけで、運営会社などの身元がはっきりしないサイトから何かをダウンロードするのは避けるに越したことはありません。
