ユーザーが設定を独自に調整したり、様々な新要素を加えたりする、PCゲームならではの楽しみ方“Mod”。今年4月に発売されたPC版『Grand Theft Auto V』でも多数のModが利用されていますが、一部のModにマルウェア(不正な動作を行う悪意あるソフトウェア)が混入していた事が発覚しました。
この問題は最初にGTA Forumsのメンバーが発見し報告。その後、ModコミュニティのGTA5-Mods.comが行った検証によって事実である事が確認されました。マルウェアの混入が明らかとなったのは、「Angry Planes」と「No Clip」の2つ。これらのModには“Fade.exe”なるマルウェアが含まれており、それはユーザーのキー入力を監視するキーロガーとして動作します。そのため、様々なサイトでのログイン情報が盗みとられてしまう可能性があります。
GTA5-Mods.comは報告者が解説してる手順に従って対処するとともに、Mod導入後に利用したウェブサイトやサービスのログインパスワードを変更するよう促しています。複数のサービスで同じパスワードを使用している場合は特に要注意です。
- GTA Forumsで紹介された対処方法
1. Ctrl+Shift+Escでプロセスを開き、「csc.exe」のプロセスを終了させる。
2. Tempフォルダ「C:\Users\*ユーザー名*\AppData\Local\Temp」に移動。
3. 日付でファイルをソート、「.z」「init..exe」を探して削除。一部報告によれば「.z」が「.x」のように異なる名前の場合も。
4. 一部ユーザーの報告によれば、開く事のできない無名のアーカイブファイル(「.zip」あるいは「.rar」)が存在する場合も。存在する場合は削除する。
5. 最近作成されたフォルダから、「Fade.exe」が入っている「5B9EF37A」のような名前(恐らくランダム生成)のフォルダを探して削除する。
6. スタートメニューの検索で「regedit」を入力し、「regedit.exe」を実行。
7. このスクリーンショットで示された場所に移動(HKEY_USERSの次のフォルダ名はユーザーごとに異なる。最後が「Classes」でないものを選択)。その中から「Shell」を探す。カスタムシェルを使用している場合はその後から「Fade.exe」に繋がる文字列を削除する。それがexplorer.exeだけでその後に何も含まれていなければ、削除あるいはそのまま維持しても問題はない。何を話しているかわかなければ、単に「Shell」を削除する。
8. レジストリの「HKEY_CURRENT_USER\Software\Microsoft\」に移動し、「Fade」と「Leep」を探して削除。「Leep」はNo Clip Modのみに関連してるかもしれない。
9. 報告によれば、悪意ある「GTA5.exe」がGTA Vディレクトリのx64内に配置される場合がある。恐らくNo Clip Mod関連。「C:\Program Files (x86)\Steam\steamapps\common\Grand Theft Auto V\x64」に移動して、「GTA5.exe」を削除する。
10. 当然、GTA Vから該当のModを削除し、二度と追加しない。継続して使い続ければ、再び影響を受ける可能性がある。
11. 「Fade.exe」がもはや実行されていない事を確認するためにコンピューターを再起動する。
報告者はこの手順でマルウェアが完全に除去されるかどうかは分からないとし、念の為にWindowsを再インストールした事を伝えています。また、上記手順で示されたファイルが存在しない場合でも、マルウェアがユーザーの情報を取得した後に自分自身を削除したか、あるいは情報を取得した後にウイルス対策ソフトによって削除された可能性があるため、安心しないようにと注意を促しています。
GTA5-Mods.comはこの問題を受けて、同サイトで配信するユーザーModの承認プロセスを強化すると発表しています。なお、Rockstarの公式見解ではPC版『Grand Theft Auto V』におけるMod使用は禁止されていませんが、“未承認”での使用のため、あくまでも自己責任である事が強調されています。それ故にModを楽しむユーザーは今回のような問題に巻き込まれないよう、各自で対策を取る事が必要なのではないでしょうか。
