「Apex Legends」にリモートコード実行エクスプロイトの可能性、大会中のプロ選手が攻撃の対象に
by dronepicr
バトルロイヤルFPS「Apex Legends」を運営するElectronic Arts(EA)は、公式大会「Apex Legends Grobal Series(ALGS)」の北米エリア決勝戦を延期すると発表しました。延期の原因は、2024年3月18日に開催された北米エリア決勝戦でゲーム中のプロ選手が突然チートを付与されるという異常事態が発生したためで、「Apex Legends」に使用されているアンチチートツールあるいはゲームエンジンの脆弱(ぜいじゃく)性を利用した任意コード実行エクスプロイトが原因ではないかと推測されています。
Apex Legends players worried about RCE flaw after ALGS hacks
https://www.bleepingcomputer.com/news/security/apex-legends-players-worried-about-rce-flaw-after-algs-hacks/
Apex Legends postpones competition amid hacking concerns - The Verge
https://www.theverge.com/2024/3/18/24104666/apex-legends-postpones-algs-competition-hack-concerns
DarkZeroチームとLuminosityチームによるALGSの北米エリア決勝戦第3試合中に、DarkZeroチームのプレイヤーであるGenburten氏の画面に突然「TSM HALAL HOOK」というチートツールが表示されました。以下がその場面を切り抜いたクリップです。
GEN GETS HACKED ?????
このチートツールにより、マップ上にいるすべての他プレイヤーの位置がGenburten氏に丸見えになってしまいました。もちろんGenburten氏はチートしていたわけではなく、異常事態が発生したとしてゲームを放棄せざるを得なくなりました。
Genburten氏のチャットウィンドウを見ると、「Destroyer2009」と「R4ndom」というネームを使ったハッカーによってチートツールが実行されたと思われるログが表示されていました。
しかし、EAは試合を無効にするのではなく、Luminosityチームの勝利と判定し、決勝戦を第4試合に進めました。
Match 3 concludes with a @Luminosity win. #ALGS pic.twitter.com/KF5o4Ykho4— Apex Legends Esports (@PlayApexEsports) March 18, 2024
ところが、この第4試合で今度はプレイヤーのImperialHal氏が、敵を自動で狙うチートであるエイムボットを付与されてしまいました。
So i was given Aimbot but it was just me playing on Controller all good guys. Nerf controller! pic.twitter.com/2ztHtoOnRB— TSM ImperialHal (@ImperialHal) March 18, 2024
ここでトーナメントの運営が介入し、試合中止を判断。Apex Legends Esportsアカウントは、外部からの介入から安全を確保できるまで、北米エリア決勝戦を延期すると発表しました。
Due to the competitive integrity of this series being compromised, we have made the decision to postpone the NA finals at this time.
We will share more information soon.— Apex Legends Esports (@PlayApexEsports) March 18, 2024
任意コード実行はカーネル権限で任意のコードを実行することができるというエクスプロイトです。そのため、「Apex Legends」に使われているアンチチートツール「Easy Anti-Cheat」はゲーム実行時にカーネルドライバとして振る舞っていることから、Easy Anti-Cheatに脆弱性があるのではないかと疑う声もあがりました。
チート行為についての警戒を促すXアカウントのAnti-Cheat Police Departmentは、Genburten氏のチャットウィンドウに名前を残したDestroyer2009を名乗る人物が「リモートでコードが実行される脆弱性を利用した」と語ったことを明らかにしました。ただし、Destroyer2009はこの脆弱性が「Apex Legends」のクライアントにあるのか、それともEasy Anti-Cheatにあるのかは明らかにしていません。
Some more information on the situation pic.twitter.com/J0KGWBcjyi— Anti-Cheat Police Department ????️ (@AntiCheatPD) March 18, 2024
Easy Anti-Cheatの公式Xアカウントは「Easy Anti-Cheatでの任意コード実行に関する報告を調査しました。現時点では、Easy Anti-Cheat内に任意コード実行に悪用されるような脆弱性はないと確信しています」と述べています。
We have investigated recent reports of a potential RCE issue within Easy Anti-Cheat. At this time - we are confident that there is no RCE vulnerability within EAC being exploited. We will continue to work closely with our partners for any follow up support needed— Easy Anti-Cheat (@TeddyEAC) March 18, 2024
これを受けて、Anti-Cheat Police Departmentは、「Apex Legends」に使われているゲームエンジンであるSource Engineの脆弱性ではないかと指摘しています。Anti-Cheat Police Departmentによると、2019年にSource EngineとSteamworks APIを悪用した任意コード実行エクスプロイトの可能性が指摘されていたとのこと。ただし、この脆弱性は2021年に行われたアップデートで修正されています。
This means that the kernel anti cheat has nothing to do with the RCE and it was a source engine issue we suspect it may be similar to this https://t.co/XVexV0bFMZ https://t.co/tyeTSRS0Bs— Anti-Cheat Police Department ????️ (@AntiCheatPD) March 18, 2024
記事作成時点で、EAは問題の原因についての公式声明を発表していません。
03/19 11:15
GIGAZINE
