2025年7月25日

NECサイバーセキュリティ技術統括部　セキュリティ技術センターの中島です。

本記事では、セキュリティの観点から「マルウェア」と「チートツール」という、それぞれ別分野の一見関連のない存在について、それぞれの目的や特徴、技術的手法の違いに触れながら、類似点と相違点を比較します。

注意事項
本ブログは、筆者による独自の調査に基づいて執筆されていますが、記載内容がすべて正確・最新であることを保証するものではありません。また、本ブログの内容を使用したことによって発生する不利益等について、筆者および関係者はいかなる責任も負いません。

目次

はじめに

私は、以前外部組織へ出向しマルウェア解析業務に携わった経験があります。あるとき、プライベートで遊んでいたPCゲームでチートによる理不尽な負け(被害)に遭遇したことをきっかけに、チート行為の技術的手法について調査をしてみました。その過程で、マルウェアの攻撃手法とチートツールの実行手法には類似点と相違点があることに気づき興味を持ちました。本記事では、両者の技術的特徴に焦点を当てて比較しながら私が興味を持った観点についてご紹介いたします。

チートとは何か

チートとは、ゲームの公平性を損なうあらゆる不正行為を指します。主にオンラインゲームにおいて、ゲームデータやプログラムを不正に改変し、自分のキャラクターの能力を極端に強化する、本来許されない行動を可能にする、ゲーム内アイテムや通貨を増やすなど、不正な手段で有利な状況を作り出す行為の総称です。

本記事では、マルウェアを使う者を「マルウェア攻撃者」、チートを行う者を「不正プレイヤー」、チートを実行するプログラムのことを「チートツール」と呼びます。

マルウェアとチートの比較

マルウェア攻撃者及び不正プレイヤーの目的と動機の比較

マルウェアを用いる攻撃者とチートを実行する不正プレイヤーの目的や動機、そしてそれを実現するための方法を比較します。

マルウェア攻撃者の主な動機は、金銭の獲得や機密情報の窃取など、極めて深刻かつ現実的な利益を得ることにあります。これに対し、ゲームにおけるチートは主に「勝ちたい」「有利に立ちたい」といった自己顕示欲や、単なる娯楽、愉快犯的な動機に基づいていることが多いと考えられます。また、ゲーム内で不正に入手したアイテムやゲーム内通貨、アカウント自体を現実のお金と交換して利益を得ることを目的とするケースも存在します。いずれの動機にせよ、その目的の深刻さや切実さという点でマルウェア攻撃者とは大きく異なります。また、両者が目的を実現するための手段も異なります。マルウェア攻撃では高度な技術や綿密な計画が必要とされるケースが多く、マルウェア攻撃者側の「本気度」が高いと言えます。一方、チートは比較的手軽に始められることが多く、倫理観も軽視されがちです。このように、マルウェア攻撃者と不正プレイヤーを比較すると、「目的の重大性」や「本気度」において違いがあることがわかります。
このようなマルウェアの実行やチートツールの実行を防ぐための個別PC上(クライアントサイド)での対策は次のようなものがあります。マルウェアに対しては、OS及び各種ソフトウェアを最新にアップデートすることに加えて、セキュリティ対策ソフトを導入して、外部からの侵入を防いだり、OS全体の監視を行うことが一般的です。チートに対しては、ゲームを最新化することを求めたり、ゲーム側が提供するアンチチートソフトの導入と起動を強制し、ゲームプロセスやメモリの監視・保護、不審なプロセスの実行を監視するといった対策があります。

実行者の比較

マルウェアとチートツールの実行者について比較します。

マルウェアの実行者は外部の攻撃者であり、一般的にはPCの所有者にマルウェアを無害と思わせて実行させる必要があります。また実行直後は多くの場合、ユーザー権限などの制限された権限であり、様々な手法を使って権限昇格を行い管理者権限を取得しようと試みることが一般的です。一方で、チートツールを実行する者はPCの所有者であり明確な意思を持ってツールを管理者権限で実行させることが可能です。マルウェアとチートツールの実行者の立場が異なるという点は、よく考えれば当然のことかもしれませんが、違いを比較していく中で個人的には興味深い発見でした。この違いが後述するマルウェアとチートツールが取る実装や実行に関する手法の違いを生んでいると考えます。

手法の類似点と相違点

まずは手法の類似点を確認していきます。マルウェアとチートツールは、それぞれセキュリティ対策ソフトやアンチチートソフトの検知から逃れるために、似たような様々な検知回避手法を使っていることがわかりました[1]。

上記のような類似点がある一方で異なる点もあります。

これらの相違点は、前述した実行者の立場が異なることにより生じるものと考えています。繰り返しになりますが、チートの場合は、実行者が管理者権限を所持している点や、物理的にPCへアクセスできる点がマルウェアによる攻撃と異なります。前者は、実行の意思が明確で管理者権限もあるため、セキュリティ対策ソフトの無効化やチートツールを例外に追加する操作を正規の手順として行うことができ、一般的なセキュリティ対策ソフトでは防ぐことが難しいと考えられます。また後者については、DMA攻撃（Direct Memory Access攻撃）など、ハードウェアを利用した手法も存在します[4]。この方法では、ゲームをするPC①に専用ハードウェアを取り付け、もう一台のPC②と接続します。PC②は、専用ハードウェアからPC①のメモリのデータを受け取り、チートツールでメモリ解析とチート行為を実行します。この手法ではPC①の上でチートツールを動作させないことでPC①のセキュリティ対策ソフトやアンチチートソフトの回避を試みます。専用ハードウェアを使い別のPCで不正プログラムを動かしコントロールするという動作は、遠隔から実行するマルウェアではまず難しい動作であり、大きな違いの1つではないかと思います。

対策について

チートにおいては実行者が管理者権限を持って不正を働く点とハードウェアを使った不正行為が可能であるという2点の特徴を挙げました。これらの対策には、PC所有者が管理者権限で不正を働く可能性、つまり「信頼できない管理者」への対応や、専用ハードウェアや別PCを使った高度な不正行為に対応する必要があります。アンチチートソフトがこれらの対策をどのように実現させているのかを調べたところ、TPM[5]、セキュアブート[6]、IOMMU[7]、メモリ整合性(HVCI)[8]、等のOSやハードウェアのセキュリティ機能の活用や、カーネルレベルでのアンチチートソフト実行などの対応を行い、OSやゲームクライアントの改ざん検知、ゲームプロセスやメモリの保護、不正プロセスやメモリの監視、外部ハードウェアの検知に取り組んでいるようです[9][10]。より具体的な方法を知りたいところですが、チート対策は、マルウェア対策と同様にいわゆるいたちごっこの関係にあり、その性質上対策手法の詳細は基本的に公開されていないようです。

まとめ

マルウェアとチートツールは、いずれもセキュリティ対策ソフトやアンチチートソフトの検知を回避するために、巧妙な隠蔽技術を用いるという点で類似性があるということがわかりました。一方で、実行者の立場の違いが生む相違点がありました。基本的にはマルウェアを実行するには外部からの侵入者が「人を騙す」必要があるのに対し、チートツールはPC所有者＝実行者であり、自ら高い権限で自由にツールを実行できる点が特徴的です。また、チート実行者は物理的なアクセスが可能であるため、ハードウェアを利用したメモリの読み込み・改変などマルウェアではあまり見られない手法を利用できることがわかりました。これを受けてチート対策には、TPMやセキュアブート、IOMMUなどハードウェアレベルでのセキュリティ機能や、カーネルレベルでのメモリ保護、不正プロセスの検出監視といった多層的な対策が導入されていることがわかりました。ハードウェア起点の対策技術は、APT攻撃で用いられる巧妙なマルウェアなど、様々な高度な脅威への対策として、OSのセキュリティ強化のために普及してきましたが、チート行為への対策技術としても積極的に活用されている点が興味深いと感じました。
今回は、チート自体の手法や対策に注目しましたが、ゲーム関連のセキュリティの話題としては、チートツールに偽装したマルウェアやMOD[11]に偽装したマルウェアが発見されたという話題[12][13][14]があります。ユーザーがチートツールやMODを自ら積極的に実行するという点を悪用しており、攻撃の起点としてゲームを利用するという点で今後も注目していこうと考えています。

参考文献

執筆者の他の記事を読む