Steam Workshopの壁紙でマルウェア配布 ── Wallpaper Engineの「Application」型を悪用した攻撃をKasperskyが報告

この記事は約7分で読めます。

Kasperskyの研究者は2026年6月16日、同社の脅威研究サイト「Securelist」で、Valveが運営するゲームプラットフォームSteamのコンテンツ共有機能「Steam Workshop」を悪用したマルウェア配布キャンペーンについて報告しました。デスクトップ壁紙アプリ「Wallpaper Engine」の「Application」型壁紙を通じてマルウェアが配布されており、2025年後半から活動が確認されています。Kasperskyによれば、数十件の悪意ある壁紙パッケージが発見され、それぞれ数千回から数万回ダウンロードされていました。ただし、この数字はSteam Workshop上のダウンロード回数であり、壁紙の実行件数やマルウェア感染者数ではありません。悪意ある壁紙を適用すると、Steamアカウントの乗っ取りやバックドアへの感染、暗号通貨マイニングの実行につながるおそれがあります。

Wallpaper Engineと「Application」型壁紙の仕組み

Wallpaper EngineはSteamで提供されているデスクトップカスタマイズアプリケーションで、アニメーション壁紙やインタラクティブな背景をWindowsデスクトップに設定できます。KasperskyはSteamDBのデータを参照し、Wallpaper Engineには約10万人のデイリーアクティブユーザーがおり、約100万件のレビューが寄せられていると説明しています。

同アプリは4種類の壁紙形式をサポートしています。

  • Video:MP4やWebMなどの動画ファイル
  • Scene:アプリ内エディターで作成するインタラクティブ壁紙
  • Web:JavaScript/CSSで動作するHTMLページ
  • Application:サードパーティのWindows実行ファイルをデスクトップ背景として動作させる形式

今回の攻撃で悪用されたのは4番目の「Application」型です。この形式はミニゲームやシステムモニターなどを壁紙として動作させる正規の用途を想定していますが、本質的にはWindows上で任意のプログラムを実行できる仕組みであり、Kasperskyは、この機能が構造的なセキュリティリスクになると指摘しています。

攻撃の手口

攻撃者はSteam Workshopに悪意あるApplication型壁紙を公開し、ユーザーがWallpaper Engine経由でサブスクライブしてダウンロードし、適用することでマルウェアが実行される仕組みを構築しました。Kasperskyが分析した結果、マルウェアの配布方法は2つのパターンに分類されています。

パターン1:壁紙パッケージに直接同梱
実行可能な壁紙ファイルと一緒に、悪意あるEXEファイルやDLL、スクリプトがパッケージ内に含まれています。壁紙を選択して適用すると自動的にペイロードが実行されます。

パターン2:パスワード付きアーカイブに隠蔽
マルウェアをパスワード保護されたアーカイブ内に格納し、パスワードはアーカイブのファイル名やJSON形式の設定ファイル内に平文で記載されています。ユーザーが手動で入力するか、スクリプトが自動的にパスワードを処理して展開します。

感染の技術的詳細:ゲーム壁紙を装った事例

Kasperskyが2025年12月に発見したサンプルでは、表面上は正常に動作するゲーム壁紙の裏側で感染処理が進行していました。

壁紙を起動すると、まずSynaptics.exeというファイルがシステムに投下されます。これはDarkKometファミリーに属するバックドアです。

同時に._cache_GAME1.exeという実行ファイルがゲーム本体(NTRaholic)を起動しますが、このモジュールは二重の役割を持っています。ゲームの表示と並行して、AggregatorHost.dllというシステムライブラリの改変版をインストールし、このDLLが端末上のSteamクライアントの探索とアカウント認証情報の収集を実行します。

収集されたデータは攻撃者が管理するC2(Command and Control)サーバーへ送信されます。Kasperskyは、攻撃者が窃取した有効なSteamセッションを利用し、被害者のアカウントから新たな悪意ある壁紙をSteam Workshopへアップロードできると説明しています。このため、Steamアカウントの乗っ取りがさらなるマルウェア配布に悪用されるおそれがあります。

確認されたマルウェアの種類

Kasperskyの調査では、Application型壁紙を通じて以下のマルウェアや脅威が確認されています。

  • DarkKomet:リモートアクセス型バックドア
  • Lumma/Vidar:認証情報やブラウザーデータを窃取するインフォスティーラー
  • RenEngine:追加のマルウェアをダウンロード・実行するローダー
  • 暗号通貨マイナー:被害者のシステムリソースを無断で使用

このほか、Kasperskyが掲載した検出判定にはランサムウェア系のオブジェクト(HEUR:Trojan-Ransom.Win32.Gen.gen)も含まれていますが、具体的なファミリー名や実被害の詳細は示されていません。

使用されているマルウェア自体は既知のものが中心ですが、Steam Workshopという信頼されたプラットフォームを経由する配布手法によって、多数の利用者へ配布され得る点が特徴です。

検知されたダウンロード試行の地域分布

Kasperskyのテレメトリによると、同社製品が検知した悪意あるApplication型壁紙のダウンロード試行の89%は中国で発生していました。壁紙のアートスタイルやタイトルも中国のユーザーを対象にした内容です。次いでロシアが5.5%、シンガポールが1.4%、香港・ドイツ・ベトナムが各0.9%、インドとカナダが各0.5%でした。これはKaspersky製品による検知データの地域別構成であり、Steam全体のダウンロード数や被害者数ではありません。

Kasperskyは、使用されているツールが多岐にわたることから、単一の攻撃者グループではなく、複数の独立した攻撃者が同じ配布手法を利用している可能性があるとみています。現時点では中国のゲーマーが主な標的ですが、同様の手法が他の地域に拡大する可能性は否定できません。

プラットフォーム側の対応

Kasperskyによると、Securelistの記事が公開された時点までに、Steamチームは今回特定された悪意ある壁紙と関連リンクをプラットフォームから削除していました。ただし、新たな悪意ある壁紙がSteam Workshopに繰り返し出現しているとして、Kasperskyはプラットフォーム側の対応だけに依存しないよう注意を促しています。

対策として

Kasperskyは、信頼されたプラットフォーム上のコンテンツであっても注意が必要であるとし、投稿者の評判の確認やセキュリティソフトの利用を推奨しています。Wallpaper Engineユーザーが取るべき対策として、以下の点が挙げられます。

  • Application型壁紙には特に注意する:今回の攻撃で悪用されたのはApplication型で、これは4種類の形式の中で唯一、外部の実行ファイルを動作させる機能を持つ形式です。Application型壁紙を使用する場合は、投稿者の評判を確認し、適用する前にセキュリティソフトでダウンロード済みの壁紙パッケージをスキャンしてください。壁紙のタイプはSteam Workshopの各アイテムページやWallpaper Engine内で確認できます
  • 不審な壁紙のサブスクライブ解除:心当たりがある場合はWallpaper Engineで当該壁紙から切り替えた上で、Steam Workshopからサブスクライブを解除します。ただし、サブスクライブ解除だけでは既に実行されたマルウェアは駆除されません
  • 感染が疑われる場合:まずセキュリティソフトによるフルスキャンを実行し、検出された脅威を隔離・削除した上で再スキャンを行ってください。その後、安全な端末からSteamのパスワード変更とSteam Guardの設定状況を確認します。Steamアカウントに関連付けられたメールアカウントのパスワードも変更してください。メールアカウントが侵害されたままだと、Steamアカウントが再び奪われるおそれがあります。なお、感染端末上でそのままパスワードを変更すると、残存するマルウェアにより新しい認証情報も窃取される可能性があります

ソース

コメント

タイトルとURLをコピーしました