Steam: たくさんのゲームにスパイウェアが見つかる。｢Elder Scrolls Online｣｢Dead by Daylight｣｢シャドウバース｣などに含まれる

Steam のたくさんのゲームにスパイウェアが含まれていると Reddit や Steam Forum で話題になっています。このスパイウェアは「Red Shell」というもので、ユーザーデータを集めるサービス・ツールです。Red Shell の公式サイトはこちら。

Red Shell はマリオカートの「アカこうら」から名付けられ、公式サイトの画像にあるように Steam などのゲームで、ユーザーを特定して追いかけてデータを収集します。

Red Shell 自身やそれを使っていたゲームデベロッパーは「スパイウェア」という表現を使わず、マーケティング用のデータ収集をしているだけだと説明しています。

Red Shell に限らずこうしたデータ収集のツールはたくさんありますが、どうして今こんなに話題になっているのかというと Facebook の問題など昨今の個人情報収集問題と関係があるのでしょう。GDPR (General Data Protection Regulation) によって個人データの収集は明確な同意が必要となりました。（これは EU 圏内とやりとりする場合の規定で、日本内部は個人情報の扱いにゆるく関係ありません。）

Red Shell は同意なしにユーザーデータを収集しており、その上ゲーム内のユーザーの行動収集だけではなく、ユーザーのデバイスを一意に特定できる情報を用いて、インターネット上でもユーザーをトラッキングします。

ただし、スマートフォンのゲームでもこうしたトラッキングツールは使われていることが多く、似たようなものでしょう。Red Shell が集める個人情報はデバイスを一意に判別しますが、そのデバイスを使っている個人が誰なのかを特定できるほどの情報ではなさそうです。

他のデータと組み合わされるとおそらく個人が特定できますが、Red Shell 単独では難しそうです。つまり「個人を特定できるほどの個人情報ではない」わけです。

Red Shell が含まれるゲーム

この Red Shell を使っているゲームで、2018/6/20 の時点で判明しているものは下の通りです。Reddit で報告があったものを載せています。

[PSA] RED SHELL Spyware - "Holy Potatoes! We’re in Space?!" integrated and removed it after complaints

Red Shell を削除した、または削除することを約束したゲーム:

• Elder Scrolls Online ( Removed it )
• Conan Exiles ( Removed it )
• Ylands ( Removed it )
• Holy Potatoes! We’re in Space?! ( Removed it )
• All Total War games ( Pledged to remove it )
• Warhammer: Vermintide II ( Pledged to remove it )
• My Time At Portia ( Removed it )
• Dead by Daylight ( Removed it )
• Battlerite ( Pledged to remove it )
• AER Memories of Old ( Pledged to remove it )
• Magic the Gathering Arena (closed beta & not on Steam) ( Removed it )
• Secret World Legends ( Pledged to remove it )
• Hunt: Showdown ( Pledged to remove it )
• Escapists 2 ( Pledged to remove it )
• Omensight ( Pledged to remove it )
• Ballistic Overkill ( Pledged to remove it )
• Vaporum ( Removed it )
• Tales from Candlekeep: Tomb of Annihilation ( Removed it )
• Yoku's Island Express ( Removed it )
• Clone Drone in the Danger Zone ( Removed it )

Red Shell を使っていると報告されているゲーム:

• Civilization VI
• Kerbal Space Program
• Guardians of Ember (Publisher removed from Steam)
• The Onion Knights (Publisher removed from Steam)
• Realm Grinder
• Heroine Anthem Zero
• Warhammer 40k Eternal Crusade
• Krosmaga
• Eternal Card Game
• Sniper Ghost Warrior 3
• Astro Boy: Edge of Time
• Cabals: Card Blitz
• CityBattle | Virtual Earth
• Desolate
• Doodle God
• Doodle God Blitz
• Doodle God: Genesis Secrets
• Dungeon Rushers
• Labyrinth
• My Free Farm 2
• NosTale
• RockShot
• Shadowverse
• SOS & SOS Classic
• SoulWorker
• Stonies
• War Robots
• Survived By
• Injustice 2
• The Wild Eight
• Raging Justice
• Warriors: Rise to Glory!
• Trailmakers
• Robothorium
• League of Pirates
• Archangel: Hellfire
• Skyworld

「Dead by Daylight」「Civilization VI」「Shadowverse / シャドウバース」など有名どころのゲームにも Red Shell が含まれているようです。「Dead by Daylight」はアップデートによって Red Shell を削除済み。

どう対処する？

Red Shell にデータを送りたくない場合、hostsファイルやファイヤーウォール、ブラウザで下のドメインを遮断します。

redshell.io
api.redshell.io
treasuredata.com
api.treasuredata.com

ゲームに Red Shell が含まれているかどうかは判断が難しいようです。インターネットへのアクセスがあれば比較的分かりやすいのですが。

ゲームのインストールフォルダに RedShell.dll や RedShellSDK.dll が含まれていれば確定ですが、ファイル名を変更している場合が多く、ファイル名からの判断は難しいとのことです。また、DLLがゲームに統合されていると通常では外からは見ることが出来ません。

なお、"treasuredata.com" はどこかで見たことがあるなと思っていたのですが、Softbank、GREE、SQUARE ENIX、BANDAI NAMCO、無印良品、SUBARUなど、日本でも使われているサービスのようです。treasuredata.co.jp はこちら。おそらく Red Shell が Treasure Data を利用しているのでしょう。

Valve はどう対処するのでしょうか。今後ゲームのコンテンツを監督しないという方針を決めましたが…。表現の自由とは別の観点の問題です。

Red Shell を閉め出して、代わりに Steam がデータ収集ツールを提供したりして。良い悪いは別にして、Steam で販売されるゲームは Steam API ならトラッキングの組み込みが楽です。Web上のデータ収集は「Steamボタン」のようなものを広めれば…。