無料でSteam上のあらゆるゲームをダウンロード可能になるバグが発見される

PCゲームのダウンロード販売などを行うプラットフォームの「Steam」上に、あらゆるゲームを無料で無制限にダウンロードしまくることが可能になるバグが存在したことが明らかになりました。バグはセキュリティ研究者が発見・報告しており、Steamの運営元であるValveからバグ発見の報奨金として2万ドル(約220万円)が支払われています。

Steam bug allowed unlimited free downloads - BBC News
https://www.bbc.com/news/technology-46183000

セキュリティ研究者のアーテム・モスコウスキー氏が、Steamのゲーム開発者向けポータル上でバグを発見しました。このバグはあらゆるユーザーが、金銭の支払いなしであらゆるゲームのライセンスキーを生成できるようになるというもの。モスコウスキー氏はバグ発見から解決までの経過報告をハッカー向けのセキュリティプラットフォームであるHackerOne上に公開しており、これによるとバグをSteamの運営元であるValveに報告したのは2018年8月7日、4日後の8月11日に報奨金の2万ドルがValveから支払われました。経過報告は2018年11月1日まで続いていました。

#391217 Getting all the CD keys of any game

モスコウスキー氏がThe Registerのインタビューで語った内容によると、バグはSteamのパートナーポータルを調べている際に偶然発見したものだそうです。Steamのパートナーポータルでは、ゲームスタジオや開発者が自身のゲームのライセンスキーを生成できるようになっています。これは、発行したライセンスキーをファンやゲームライターなどに無料で配布し、ゲームのレビューを依頼するための機能です。

しかし、パートナーポータル上では誰でもあらゆるゲームのライセンスキーを生成可能な状態になっていたとのこと。モスコウスキー氏は「1つのパラメーターを変更するだけでゲームの所有者であるか検証するプロセスを回避することができた」と述べています。

なお、Valveによるとバグは既に修正済みで、調査した結果、誰もこのバグを悪用した形跡はないとしています。