「Counter-Strike: Global Offensive」と「Team Fortress 2」のソースコードが流出したことが海外では話題です。

短くまとめると、

  • 2017年の CS:GO と TF2 のソースコード(Source Engine)が流出していたことが分かった
  • Valve は「流出したソースコードは過去のものであり、現行版のゲームは安全だ」と言っている

この件については GameSpot の記事が一番丁寧で分かりやすかったです。記事へのリンクを張っておきます。

Team Fortress And CS:GO Source Code Leaked, But Valve Isn't Worried - GameSpot

If you're unaware of what's going on, here's the short of it: The source code for both Team Fortress 2 and Counter-Strike: Global Offensive seemingly leaked on April 22 through an anonymously posted blog post (by a user only known as Maxx), though the files in question are dated for 2017/2018. Regardless, the leak still represented a possible means for hackers to run a remote code execution and inject malicious code into a player's account.

今回の流出について Valve が CS:GO の公式Twitterでメッセージを出しています。

We have reviewed the leaked code and believe it to be a reposting of a limited CS:GO engine code depot released to partners in late 2017, and originally leaked in 2018. From this review, we have not found any reason for players to be alarmed or avoid the current builds.

As always, playing on the official servers is recommended for greatest security.

We will continue to investigate the situation and will update news outlets and players if we find anything to prove otherwise. In the meantime, if anyone has more information about the leak, the Valve security page (next tweet) describes how best to report that information.

https://twitter.com/CSGO/status/1253075594901774336

流出したデータのファイルの日付を見てみると、2018年になっています。このことから2017~2018年あたりのデータだろうと言われていました。

Valve が確認したところ、2017年のものと確定しました。流出が2018年とのこと。流出したデータは CS:GO は Operation Hydra のアップデート、TF2 は Jungle Inferno のアップデートあたりのようです。

TF2 の公式Twitterも今回の件で久しぶりに Tweet しました。CS:GO とほぼ同じ内容です。

Regarding today's reported leak of code, specifically as it pertains to TF2: This also appears to be related to code depots released to partners in late 2017, and originally leaked in 2018.

https://twitter.com/TeamFortress/status/1253186403900420098

ゲームのプレイヤーは "RCE" に注意を

Counter-Strike: Global Offensive や Team Fortress 2 ではチーターが増えており、ソースコードの流出と関連性があるのではないかと疑っている人が多いです。これに関しては確かめることができませんが、特に TF2 ではチーターが多いことは事実です。

私も少し前に TF2 をプレイしましたが、体力が変に高かったり(必要以上に攻撃しても全然死なない)、頭を出すとすぐにヘッドショットをしてくるスナイパーがいたりします。ジャンプをして頭の位置を変えてみたりするなど何度も確かめましたが、他の味方も含め頭が出る瞬間に確実にヘッドショットされます。TF2 はジャンプ中はヒットボックスがずれるため、通常はヘッドショットの確立が大きく下がります。ある程度ゲームをプレイしていると、人間ではあり得ないヘッドショットはすぐに分かります。

他にも、こちらがどこにいるのか分かる動きをする、弾切れがない、キャプチャーポイントに乗るとすぐにゲームが勝ちになる、ずっと空を飛んでいる、集弾率(命中精度)が高すぎる、リボルバーで必ずヘッドショットをする "スパイ" がいる、背後から近づいても一瞬で背後を向いて攻撃しすぐに前を向く、攻撃しても死なないスパイ、ずっとクリティカル攻撃が出ているなど、ありとあらゆるチートを見かけました。TF2 はもう崩壊しています。

今回の流出では「Counter-Strike: Global Offensive」に注目している人が多いでしょう。CS:GO の方が圧倒的にプレイヤー数が多く、時間帯によりますが TF2 の10~20倍です。Valve もこちらに力を入れています。

ただ、今回の流出でより気をつけなければならないのは TF2 プレイヤーの方で、TF2 は最早ほとんどアップデートされていないため、バグや脆弱性に対して弱いです。Valve も CS:GO の方が大事でしょう。

流出した TF2 のソースコードに「何でこのくそは動かないんだ?」というコメントがあるのには笑ってしまいました。他にも暴言ばかりです。

tailor_ @TailorTF : "TF2 source code… "

ほとんどアップデートされていない TF2 では流出したデータを元に、RCE(Remote Code Execution / 遠隔コード実行) の危険性があると言われています。TF2 を通して何かのコードを実行されてしまう可能性があるということです。ビットコインのマイニングをさせられたり、何かの踏み台になったり、PCの中身を操作されたり。

でも Valve はゲームは安全だと言っています。確かに RCE の証拠は出ていません。RCE のバグの発見者には報奨金も出ます。ただし、これはバグの報告とチートを売って儲けるのとの天秤となります。抜け穴を発見したら売った方が儲かるかもしれません。最近はチートがたくさん売られています。日本でも逮捕者がでましたね。

TF2 のコミュニティーは素速く反応し、Creators.TF はサーバーをシャットダウンThe Red Sun Over Paradise(redsun.tf) もシャットダウン

これが良い対処法だと思います。Valve は完全なる利害関係者であり、本当に安全か分からないのでちょっと様子を見るのが良さそうです。こんなにチーターが多い TF2 を放置しているのですから。

CS:GO の方も RCE の危険性があるのかもしれませんが、こちらはプレイヤー数が多いし、コミュニティーマーケットや大会などで金銭が絡んでいるので、何かあっても対処が早そうです。

Valve が言うように本当に大丈夫な可能性ももちろんあります。ちょっと様子見しておきましょう。

誰がソースコードを流出させたのか

誰がソースコードを流出させたのかの特定も始まっています。

ただ、情報がとても追いにくいです。多くのニュースメディアはオリジナルソースを見ていません。

自分でちょっと調べてみたのですが、オリジナルの流出ポストまでたどり着けませんでした。4chan は見にくいし、検索もしにくい。Reddit も見にくい。

何でこんな見にくいデザインにしているのでしょう…。結構追っていきましたが、見にくさに負けて諦めました。

流出データまではたどり着きましたが、Valve Network News(VNN) との関連を見つけるのが難しいです。

ちょっとまとめておきます。

  • Maxx というユーザーネームの人がデータを流出させる
  • おそらく 4Chan (/v/) で、Valve Network News(VNN) を運営する Tyler McVicker(@ValveNewsNetwor) と Valve の社員のチャットが流出される。そこに今回の件に関連した会話が少しある。Tyler McVicker の「If you are a woman, hello!」という言葉が有名になる [チャットログは PasteBin]
  • ゲームのソースコードは Valve のパートナーにしか渡されない。Tyler McVicker は Lever Softworks という Valve のゲームの MOD 作成などを行うチームのリーダーで、Valve と提携している
  • 4chan や Reddit で Tyler McVicker が怪しいと言われる [4chan など]
  • 今回の流出に対して Tyler McVicker が Discord などで「私はやっていない」と反応する。だが 4chan などで以前から流出を知っていたのかと責められる [Discordの画像は @2Eggsss のツイート など]
  • Tyler McVicker が私は悪くないと Twitch のライブストリーミングで釈明する。問題のあった元社員が解雇を理由に復讐したと推測する。Valve には流出の危険性について過去に強く進言していたのこと
  • Tyler McVicker が 4chan での誹謗中傷を訴えると言う
  • Lever Softworks のチームメンバー JaycieErysdren も今回の説明を行い、最近解雇された元社員のせいだと語る。流出したデータも当時受け取ったものと同じであるとのこと

今回の件に対して情報を追いたい人は Reddit を見ると良いでしょう(こちらこちらなど)。4chan よりは読みやすいですが、Reddit には 4chan へのリンクがほぼありません。流出データへのリンクを貼ってはいけないというルールがあるためだと思われます。

つまり重要なデータは 4chan にあります。4chan のまとめはこちらの画像にある説明が分かりやすいです。

流出データを見つけた人はダウンロードしない方が良いです。Twitter などではダウンロードして中を見ている人がいますが、機密データではあるので注意してください。

「ゲーム」の最新記事

最新記事

About

Nomeu

ほとんどのジャンルのゲームが好きです。特に好きなのはRPG。「Xenogears」「クロノトリガー」「ペルソナ3、4」とか。ドラクエは「V」。主人公が「勇者」ではないところが好き。ビジュアルノベルは「STEINS;GATE」「Ever 17」「AIR」が好き。

どこぞの作曲コンクール最優秀賞受賞。好きなゲーム音楽は「愛のテーマ (FF)」「Heartful Cry (ペルソナ)」「夢の卵の孵るところ (Xenogears)」「凍土高原 (Kanon)」「夜の底にて (クロノトリガー)」「Theme of Laura (Silent Hill 2)」「Scarlet (みずいろ)」「bite on the bullet (I've)」など。たくさんありすぎてスペースが足りません。

ゲーム音楽以外だと「Ballet Mecanique (坂本龍一)」「月光 第3楽章 (L.v.Beethoven)」「水のない晴れた海へ (Garnet Crow)」「Angelina (Tommy Emmanuel)」「空へ… ライブ版 (笠原弘子/ロミオの青い空)」「太陽がまた輝くとき (高橋ひろ/幽遊白書)」「スカイレストラン (ハイ・ファイ・セット)」など。

Twitterのアカウントはありますがうまく扱えていません。Twitterでご連絡の際はDMだとメールが来て気付けます。