Steamのアカウントが乗っ取られかけたお話

初めてアカウント乗っ取りの水際に立たされました。

この手口は危うくはめられてしまう人も多いだろうなぁと思って注意喚起も兼ねて記事にしておきます。

大まかな流れ

Discordに知らない人からDMが届く
お前に詐欺られたのだけれど取引履歴見せろと言われる
見せたら誤解だったゴメンと言われてSteamの管理者という人に誘導される
なんやかんやでアカウントを抜かれそうになる

こんな流れでした。Discordのスクショ等貼りまくりますが、一応一部にボカシとかは入れています。実行犯っぽいIDは晒しておきますが、まぁいいでしょう。

Discordに知らない人からDMが届く

DiscordのDMとかほぼ使ったことないので、そもそも気づくのに3日ほど経過していたんですが、DMが届いていました。

外国人の方のようで、冒頭で翻訳ツールを使っている旨が記載されていました。

わたしからの返答がなかったからだと思いますが、この必死さも多少本物っぽさの演出に一役買っていた感があります。

そもそもで、外国圏の方からのDMって時点で普通の方は警戒心が上がるとは思うんですが、この方とのDiscord共通サーバが外国の方も多数おられそうなサーバだったため、わたしの警戒心は下がってしまっていました。

コンタクトを取ってみた

この時点で半信半疑ではありましたが、DeepL翻訳を駆使して英語でコンタクトを取ってみようと思い、以下の通りわたしじゃないよって軽くアピール。

わたし

I did not see the DM.（DM見てなかったわ）
I think it’s a completely different person.（それわたしじゃないよ！）
I’ve almost never used steam to trade.（そも、Steamで取引したこと殆ど無いし。）
I’ll also attach a screencap of my trade history.（スクショも貼っとくよ。）

反応を待ちます。

夜中にレスが来る

まぁ夜中なのは別にいいんですが、英語でレスが来ました。

容疑者A

hello good evening（こんばんは）
Oh my God!（マジで！？）
my item is not in there（僕のアイテムがそこにないんやが！？）

容疑者A

and you seem only bought or traded an items from other game?（それに、あんさんは他のゲームのアイテムばっかり購入したりトレードしたりしているように見えるんやが？）
[URL] but this is you or not you?（でもこれってあんさん？　あんさんじゃない？）

わたし

Good evening.（はいこんばんは）
Yes, that is my account, but in the first place, I have never made a transaction on the marketplace.（それはわたしのアカウントだけど、そもそもわたしはSteamのマーケットプレイスで一度も取引したことないんだよね）

この時点で少しチャット相手に違和感がありました。

PoEをやっていた際に、英語圏の外国人ってゲーム内だと面倒くさがりな方が多い印象をもっていました（私見です。他意はないです！）

ゲーム内でアイテム取引をした際に、ありがとうって言ったりすると思うんですが、英語圏の方、一言だけです。

PoE民

Thank youの略です。チャットだとこんな物臭な感じで打ち込む人たちが、「Oh my God!」って言う？って疑問。

PoE民だと間違いなく

PoE民

OMG!

こうなります。

少し、警戒心を上げておきました。

通報してしまったゴメンと言われる

容疑者A

oh my God! I am really sorry but.. can you help me to cancel this report? I reported your Steam account ID for fraud because I thought you are the one who took my items recently..

（まーじでー！？　本当にゴメンやけどこの報告取り消すの手伝ってくれへん？　ボクのアイテムパクったのあんたやと思って詐欺通報してもた……）

容疑者A

the Steam customer admin said that they will permanently ban and delete your account if you do not make an appeal about this case and cannot prove that you are innocent
I’m very sorry
can you help me?

（Steamのサポはあんたがなんも言わんかったら永久BANするゆうてんねん……ほんまゴメン。助けて……）

こんな事言われたら怖いですよね。最近はほぼSteamのゲームをしていないんですが、アカウントがBANされてしまうと今まで購入したゲームも遊べなくなってしまいますし、何千時間と注ぎ込んだセーブデータも消えてしまうということです。

正直生活に影響はないんですが、思い出は残しておきたい方なので、もう少しやり取りを続けてみることに。

一応送られてきたスクショは全文載せておきますね。

見た目はものすごくSteamっぽいスクショです。

Message From Steam Support

We have reviewed your BAN request:

The banning request took a little bit longer than the minimum time frame stipulated in the moderation rules, which would be 24 hours, but the request review for a ban has been approved.

Steam is looking into a report of unusual behaviour on your account. The person you reported [URL:私のプロフィールページ] could be permanently banned, and its IP address will be blocked on Steam Community; and he or she will lose access to his or her account until he or she files an appeal and shows evidence of the problem. If you are unable to supply the needed information, we will be unable to assist you and will be obliged to close this issue.

Please feel free to contact a few of our Valve Administrator for a continuous investigation. You can reach the valve moderator on the Discord ID: officialsharon for Live Investigation.

*Aside from contract issues, acts on the account may violate state and federal laws. If such activity persists, Valve has the option to report the incident to the appropriate authorities.

If the owner of the reported account is unable to appeal, disciplinary action will be performed within the next 3 hours: BAN REQUESTS

Thank you for contacting Steam Support,
Sharon Wang

一応要点を訳しておきます。

あなたのBANリクエストは承認されました。
Steamはあなたのアカウントの異常な行動について調査しています。
あなたが報告した人物のSteamプロフィールは永久BANされ、IPアドレスがSteamコミュニティでブロックされる可能性があります。
報告された人物は異議申し立てを行い、問題の証拠を提出するまでアカウントへのアクセスを失います。
継続的な調査のために、Valve Administrator（Discord ID: officialsharon）に連絡することができます。
報告されたアカウントの所有者が異議申し立てできない場合、3時間以内に懲戒処分（BANリクエスト）が実行されます。

ちなみにこの画像をGeminiへ放り込むと、詐欺かもしれないから注意しろよと教えてくれます。
昨晩実施していたらもう少し早く終わらせられた気がしますね……

いつ通報したか聞いてみる

一般的に、アカウントに関する措置が取られるとしても、登録しているメールアドレスへ一報は来ると思います。

自分がBANされるとしても、来ると思うんですよねぇ……

なので、メールを探すためにいつ通報したか聞いてみました。

わたし

I’ll check if I’ve received any emails. Around what time did you contact customer service?（メール見てみるから、いつ頃通報したか教えて？）

容疑者A

maybe like 6 or 7 hours ago?
I think you must contact the Steam admin who handled in this report… you must prove that you are innocent so they wont ban your account permanently.

（6-7時間前やな。あんさんはこのSteam管理者に連絡取って無実証明やるべきやで……じゃないとアカBANされてまう）

わたし

なんでやねん。お前がやれや……

わたしはメールを確認して、ウォッチリストの安売りメール以外来ていないことを確認しました。

そも、通報から3時間でBANされると言っていますが、通報から6-7時間経っても無傷なんですがそれは。

とりあえず馬鹿らしく思いながらもやり取りを続けてみました。

わたし

I haven’t received the email yet.

（メールは来てないですね）

容疑者A

this is the friend code of the steam support admin we should contact or send a friend request to him and ask him help to revoke the report from your account because it was a mistake and to avoid your account for being banned.

（これはうちらが連絡を取るべきSteam管理者のフレコやねん。フレンド申請してボクの通報が間違いやったって伝えんとあかん）

maybe because I’m the person who reported you and that is what they said about the report to avoid being banned we need to contact her and show a proof

（多分ボクが通報者やからやと思うけど、BANを避けるんやったら彼女に連絡取って証拠出さんとあかんみたい）

メールが来ていなかったことについては完全スルーされました。

都合の悪い問いは無視するようです。

色々胡散臭くなってきてちょっと面白いです。

今日改めてGeminiへ原文を放り込みながらこの記事を書いているんですが、Geminiがめっちゃ警告してくれています。

そもそも誤報として通報したなら通報した本人がSteam側へ訂正すべきですし、提示された連絡先もDiscordのIDです。何人かも分からないし、Steamの人っぽい情報もプロフに何もない人でした。

ゴリゴリ押してくる

めっちゃ誘導してきます。ゴリ押し。

DeepLとディスコを行ったり来たりしていて多少やり取りが錯綜していますが、おおむね早く連絡取って、なんかあったら手伝うから、的な感じで話が進みました。

わたし

I’m using a translation tool and it’s taking a long time.

（翻訳ツール使ってるから時間がかかります）

容疑者A

its ok, have you sent her a friend request already?

（ええで。もうフレンド送った？）

I hope she can help us soon

（彼女がすぐ助けてくれたらええんやけど……）

we will explain this matter to her and tell her it was a misunderstanding is it ok?

（とりまこの件は誤解やったって言うけどええよな？）

if you have talked or contacted her please let me know if there is anything that I can do to help I’m very sorry

（彼女と連絡取れてボクが手伝えることあったら言ってな。ほんまゴメン）

この時点でほぼ確でアカウント乗っ取り系だと思っていたんですが、この後の展開が気になって手を出してみようかなって出来心が生まれてしまいました。

わたし

Is that her?

（彼女で合ってる？）

容疑者A

yeah

（おう）

I checked your inventory and its a private maybe we can show that to her too to prove that my item is not on your account

（あんさんのインベンドリ見てみたけど非公開になってんな。ボクのアイテムがないこと確認されるかもしれん）

問題のアカウントにアクセスを試みます。

せっかくなので管理者という人にコンタクトを取ってみる

本当は全文を載せたかったのですが、朝起きたら相手方のメッセージがすべて削除されていました。

仕方ないので、どんなやり取りがあったかを記載しておきます。

全部スクショしておけばよかった……

kakayという人が間違ってわたしにBANリクエストを送ってしまったと聞いたことを伝えました。

わたし

I asked him, I want to prove my innocence because I don’t want to be banned.

（BANされたくないので無罪証明をお願いします）

実行犯

わかった。そいつとのやり取りスクショに取ってここに貼りな

わたし

It’s a little much, so please wait.

（ちょっと多いのでまってね）

前述した方とのスクショを全部貼り付けます。なんの意味があるんだろうか。

それっぽく見せるための手順なんでしょうかね？

貼り付けた後にはもっと情報をよこせと言ってきます。

実行犯

アンタの取引履歴もスクショして貼りな

取引履歴のたどり着き方がわからなかったので、彼女に教えてくれと言ってみました。

最初はURLが貼られたんですが、普段Steamアプリで立ち上げっぱなしにしていたこともあって、ブラウザ経由でスチームにログインできませんでした。

その旨伝えてみると、スクショで取引履歴の見方を教えてくれました。

優しい。（必死とも見れます）

せっかくなので晒してあげました。

これ、記事を書いていて気づいたんですが、わたし表示名とアカウント名が違うんですよね。

shallreenだとログインできないようになっていて、それで取引履歴をスクショ要求されたんだと思います。

塗りつぶしている箇所にログインIDが出るので、そこからパスワード再発行とか進めたんだろうなと。

すると、案の定登録してあるスマホに、ショートメッセージで確認コードが送られてきました。

Steam:Use code ｘｘｘｘ to change credentials for your account

ここで誤ったコードを相手に伝えました。

実行犯

認証失敗。steamでメール登録してるか？

わたし

yes

（してますよ）

実行犯

じゃあここからは画面共有して指示する。Discordで通話しながら画面共有しろ

胡散臭さマックスです。画面共有とかできるわけがないので、どうしようかなって考えました。

結果としては、おめー胡散臭いからヤダよって伝えました。

わたし

I don’t trust you. Please prove that you are an official STEAM staff member.

（わたしはあなたを信用していません。Steamのオフィシャルスタッフである証明をしてください）

実行犯

私の情報はここにある（プロフ欄のURL）通話が苦手ならこのままチャットで指示するから従え

貼られたURLにもアクセスしてみましたが、胡散臭いサイトにアクセスさせられて、アカウントを作ってログインしないと詳細が見られない感じでした。

そこまでするのは面倒極まりなかったので、ここで一旦話を持ちかけてきた彼にも言ってみました。

わたし

Before proceeding, please call me on Discord and share the entire screen. I was told to do so. I am suspicious.

（ディスコで通話しながら画面共有しろって言われて超うさんくさいんですけーど）

容疑者A

what happen? you have contacted her already?

（どした？　もう連絡取ったん？）

whast do you mean suspicious? for what reason?

（うさんくさいてなんでなん？）

わたし

なんでもクソもないでしょう。

画面共有しろとかおかしい。もうちょっと上手く返しなよ

わたし

I’m communicating with her and she’s asking me to share my screen.

（彼女とやり取り進めてますけど画面共有を求められています）

容疑者A

ahh ok and did you explain this matter to her already?

（あぁそう。ほいで彼女にこの件説明したん？）

わたし

だめだこいつなんとかしないと……

わたし

I’m explaining now.

（今やってますよ）

容疑者A

okok

（おけー）

中身同じ人なんでしょうかね？　そのあたりはちょっとわかんなかったです。

英語でやり取りしていることもあって、文脈とか雰囲気は全然わからないので。

とりあえず実行犯とのやり取りに戻ります。

実行犯

今からツールを使ってお前の取引に違法性がなかったかチェックする。Steamからサインアウトして、メールが届くのを待て。

わたし

（はい）

チャットしながら、わたしはSteamのログイン情報を更新していました。パスハックされても困るので。

そんなさなかに、メール確認しろと言われたんですが、わたしが自分で送ったパス再発行のメールと混じってしまってよくわからなかったので、再送してくださいとお伝えしました。

わたし

I cleared my mailbox, please send again

（メールボックスクリアしたからもう一度送信してください）

実行犯

再送したからそのメールのスクショを貼れ

わたし

OK？

（これでいい？）

実行犯

よし。よくやった。後はそのリンクをクリックしてリカバリーコードをここに貼れ

引用元：ジョジョの奇妙な冒険　スティール・ボール・ラン

送られてきたメールは、Steamのアカウントリカバリー用のメールです。

Steam上で、アカウント名を入力して、「ログインできません、助けてください」のリンク等から手続きを進めると届くメールです。

このメールで記載されている「Resume Recovery」をクリックした後に出てくるコードを相手が入力して送信すると、相手側の画面でわたしのアカウントを使ってログインができてしまいます。

その後はもう想像に難くないですね。パスワードやメールアドレスを変更されて、無事に乗っ取られが完了する運びとなります。

ここのあたりで時間も遅かったので切り上げました。

わたし

It’s called account hijacking. It was a waste of time.

good-bye

（アカウントの乗っ取りというやつですね。時間の無駄でした。ばいちゅー）

このメッセージを送った直後、相手はオフラインになりました。

メッセージを消されてしまうとは思っていなかったのでぬかってしまいましたが、アカウントは無事に保護されています。

せっかくなので、発信元な彼にもお伝えしておきます。

まぁこの人も十分容疑者なんですけども。

アカウント乗っ取り班は、どうもフィリピン経由でsteamにアクセスしていたようです。

フィリピンはないわ。

全文英語で、怒涛のチャットが来たら普通怖いですよね。

まとめ

ほぼほぼアカウント乗っ取りだと思いつつ進めたので、十分余裕を持って対処できたと思いますが、取引履歴の開示は失敗でした。

相手に渡したときには塗りつぶしていなくて、まんまとログインIDを抜かれてしまった次第です。

また、アカウント復旧メールについてもログインIDが記載されているので、そこも注意です。

今回の手口の引っかかりやすそうなポイントとしては、以下の感じでしょうか。

チャットでリアルタイムに事が進行する（ゆっくり考えられない）
スパムメールと異なり、相手が人間のため対応が柔軟（そうでもない場合もあるけど）
被害者と名乗るIDから無実なのに加害者扱いされる（心理的不安）
間違いだと気づき、すでにBANリクエスト出したとさらに不安を煽られる
公式スタッフと言われる別の人へ誘導される（最初の人は関係ないと思わされる）
そこからリアルタイムにSteam公式からのメールやショートメッセージが届く
やり取りが全部英語で不安

やり取りが全部英語なのは、わたしが英語でコンタクトを取ってしまったからな気もしますが、いずれにせよ相手は外国人ということで不安はあると思います。

結局はわからないうちに不安を煽って、画面共有等の超危険な手段もホイホイ受け入れてしまうという流れのようです。

いわゆる、わからん殺しの一種ですね。

この流れの場合、どこのタイミングで詐欺と見切れるかは人それぞれだとは思いますが、いかにもそれっぽいスクショ等を見せられながらリアルタイムに公式からメールなどが届くと、人によっては結構簡単に引っかかってしまいそうだと思って、冒頭で述べたように記事にしました。

今回記事中でも記載していますが、Geminiがすごく優秀で、翻訳をすべて任せましたが、途中経過もすべて覚えていて、怪しいポイントポイントでしっかりと注意喚起してくれました。

初手で切り捨てることができなくても、要所々々でAIに相談しながら進めればしっかりと踏みとどまれると思います。

大切なことは、不安に負けて、焦って相手の優雅ママにならないこと、です。

画像の翻訳難しいとか思うかもしれませんが、今のAIは相当優秀で、一般的なフォントであれば画像チャット欄に投げて文字起こし＆翻訳してって言えば全部やってくれます。

画像生成等のAIは世間全般から拒否感強い目で見られていますが、外国語翻訳やネット関連のスパム等の対策には結構便利に使えるんじゃないかなって思っています。

フィリピンのアカウントハッカーとのやり取りまとめでした。

皆様、アカウント管理には十分お気をつけくださいまし。