Ubisoftの手がけるタクティカルシューター『Rainbow Six Siege X(レインボーシックス シージ エックス)』では、悪意ある第三者からの攻撃により、プレイヤーデータなどが改ざんされる事件が発生中だ。
開発側は現在も復旧に向けた作業を続けているが、その原因と今後の影響が気がかりだ。シージはどのようにハッキングされたのか。公式からの続報とともに、サイバーセキュリティの世界から、この件に関する興味深い話が届いている。
不正配布額は5京円? 『シージエックス』大規模ハッキング事件続報
日本時間12月27日夜から『シージエックス』ゲーム内で大規模な不具合が確認されている。これは外部からの攻撃によるものと見られ、日本を含む世界中のプレイヤーが、画面上のデータを一部改ざんされるという混乱を招いている。
この騒動では、ゲーム内の有料通貨である「R6クレジット」が、日本円にして約5京円の規模で無料配布されてしまったとされている。これを受けUbisoftは、R6クレジットを使ってゲーム内アイテムの売買を行う「マーケットプレース」を一時停止中だ。
その後、日本の28日午前6時ごろに新たな現状報告がなされた。
- 1. 付与されたクレジットの使用による処罰はありません。
- 2. UTC 11:00以降の取引はロールバック対応中です。
- 3. 表示されたバン通知は弊社によるものではありません。
- 4. R6 ShieldGuardのバンウェーブは本件と無関係です。 現在、問題解決に全力で対応しております。
- (日本語訳は、シージ日本公式アカウントから引用)
不正に付与されたR6クレジットを使用しても処罰はしないと明言。仮にアイテムなどを購入しても、取引記録は事態の発生前のところまでロールバックされると思われる。
なぜハックされた? 専門家からのウワサ
開発スタッフやコミュニティが誇っているように、『シージエックス』は2025年12月をもってリリース10周年を迎えた、タクティカルシューター・ジャンルにおける定番タイトルの一つだ。10年もの歴史を通して、実に1億以上の人々にプレイされてきた。
しかし開発側はここをゴールとせず、今年を「次の10年のスタート」として、2026年以降もサービスのさらなる継続強化を請け負っている。
この種の大人気ゲームがハッカーに狙われるのはゲーム史上初ではない。たとえば2021年には、エレクトロニック・アーツの手がける『タイタンフォール2』や『エーペックスレジェンズ』がハッキングされる出来事が起きている。
シージと他タイトルではそれぞれ導入されているセキュリティ技術も異なるはずだが、いずれにせよプレイヤー側としては、同様の事例が今後も生じ得るのかが懸念されるところだ。プレイしていて安全なのだろうか。
4つのハッカーグループが関与?
そもそもどうやってシージをハックしたのか。今回の『シージエックス』ハッキング事件で人々が抱くであろう疑問に対して、Xでは興味深い投稿も寄せられている。
インターネット上のマルウェアを研究し、そのアーカイブを運営しているグループ「vx-underground」によると、今回の事件には4つのグループが絡んでいるという。
「この投稿は、話を明確にするためのものです。前回のUbisoftに関する投稿は混乱を招くものでした。これは私のミスであり、より詳細に書いていくことにします。1つの投稿にすべてをまとめようとしたのですが、文字数制限に引っかかりそうだったので省略していました。
インターネット界隈で出回っている話は以下の通りです。
- 第1グループ
- 『レインボーシックス シージ』のサービスの脆弱性を悪用して、プレイヤーをBANしたり、インベントリを改ざんしたりできる状態にしていました。
- このグループはユーザーデータには触れていません(そもそも触れたのかどうかも不明)。
- 彼らはプレイヤーに対して、約339兆9600億ドル(約5京2981兆円)分のゲーム内通貨をプレゼントしました。
Ubisoftはこの被害を元に戻すため、ロールバックを行う予定です。おそらく相当イラついているでしょう。 - どうやってこれを達成したのか。詳細は今はまだ話せません。
- 第2グループ
- 第1グループとは無関係の別のグループです。
- このグループはUbisoftの使う「MongoDB」を「MongoBleed」を使って攻撃し、そこから内部のGitリポジトリ(情報を管理する仮想ストレージ)へアクセスできる状態にしました(※この部分の解説は後述)。
- そして、Ubisoftの内部ソースコードの大部分を持ち出しました。
- 彼らは「90年代から現在までのデータで、ソフトウェア開発キット(SDK)やマルチプレイサービスなども含まれる」と主張しています。
- この主張の信憑性については「中〜高」程度だと考えています。複数の関係者から確認が取れているためです。
- 第3グループ
- さらに別のグループが、「MongoBleedを使ってUbisoftに侵入し、ユーザーデータを盗んだ」と主張しています。
- このグループはUbisoftを脅迫しようとしています。Telegram上で活動しており、脅迫グループとしての名前も持っています。
- しかし、この主張が本当かどうかは確認できていません。
- 第4グループ
- 第4グループは、「第2グループは嘘をついている」と主張しています。
- 彼らによれば、第2グループは以前からUbisoftの内部ソースコードにアクセスできており、今回の事件を第1グループのせいにして、「自分たちがソースコードをすべてリークする理由づけに使っているだけだ」と言っています。
- 第1グループと第4グループは、この状況に苛立っています。
第2グループはソースコードをリークするのか。第2グループは本当のことを言っているのか。第2グループは嘘をついており、実はずっと前からコードにアクセスしていたのか。本当にMongoBleedが原因なのか。第1グループが濡れ衣を着せられるのか。謎の第3グループとは?他のグループとは関係があるのか。次回のドラゴンボールZで明らかに」
最後で軽くふざけているvx-undergroundだが、その程度には向こうの界隈では日常茶飯事なのだろうか。それとも想像以上に深刻な事態が起きているのだろうか。以下でさらに掘り下げていこう。
「MongoBleedを使って攻撃」とは?
MongoDBはNoSQLデータベースで、「データをしまっておく箱」のようなものだ。内部のデータが随時変わっていくようなウェブサービスやクラウドサービスに適しているため、ゲーム会社もプレイヤー情報を保存するのに活用している。
LAND BASEのデータによると、世界の28,915社が「MongoDB」を利用している。この企業には、AmazonやApple、Microsoftなど、誰でも知っているような大企業が多数含まれる。
当然ながら通常はパスワードが設定されており、外部の人間が中身のデータを見ることはできない。
しかし2025年12月、MongoDBより重大な脆弱性「CVE‑2025‑14847」の修正が報告された。この脆弱性は「zlib圧縮の欠陥を悪用し、細工したネットワークパケットを送るだけで、MongoDBの内部メモリからパスワード・APIキーなどの機密情報を盗み出せる」というものだ。要するに、悪意のある人間によって企業のサーバーが侵入を受ける可能性がある。
この脆弱性に対しては、既に修正用アップグレードが公開されている。業務上の都合で早急な対応ができない企業にも、一時的なリスク低減策が案内されている。
一方で、この脆弱性を利用した攻撃コードがGitHubで公開された。それが「MongoBleed」だ。このコードを攻撃者に悪用されると、更新されていないサーバーにはメモリ漏洩が起きる危険が生じるという。今まさに世界の技術者が、ホリデー休暇返上で対応に追われているのかもしれない。
(参考:トレンドマイクロ、OX Security、合同会社ロケットボーイズ セキュリティ対策Lab、Reddit)
トレンドマイクロのサイバーセキュリティ研究者Peter Girnus氏も、今回の騒動を「MongoDBからのホリデーサプライズ」と茶化しつつも、Ubisoftもまた「MongoBleed」の被害者であると見ている。
『シージエックス』とそのコミュニティは、いわばサイバーセキュリティ界の騒動に巻き込まれたゲーミングサービスの代表例と言えるだろう。
今のところシージ界では今回の事件を大喜利にして楽しむ余裕も見られているが、開発現場の状況は不明だ。続報とともに、いち早い解決を望みたい。
(続報あれば追記)
- タイトル:Rainbow Six Siege(レインボーシックス シージ)
- 発売日:2015年12月10日
- 対象機種:PS5, PS4, Xbox Series X|S, Xbox One, PC(Steam)
FPS POWER TUNE
ポチップ
ポチップ
Source: Trend Micro and others
コメント
コメント一覧 (4件)
おわこんだしどーでもいいわ
開発側は笑えないだろうな
ゲーム業界成長した分狙われやすくなって大変だ
つまり特殊部隊FPSなのに水面下で集団人狼ゲームが始まってるってことじゃんw