【注意喚起】マイクラプラグインのマルウェア感染に気を付けよう！対処方法を紹介します【プラグイン／MOD等】

揚げたてのポテト

こんにちは！
先日、マイクラのプラグインについて気になる情報を見かけたので、皆さんに周知したいと思います。

ポテコちゃん

なんだろう…？

揚げたてのポテト

特にマイクラサーバー管理者に大きく関わることだと思うので、一通りお読みください。

一部プラグインにマルウェア感染が発見された

2022年9月29日（木）にPaperMCの公式フォーラムにて、サーバー運用に関する重要なお知らせが投稿されました。

マルウェア感染について｜PaperMC

Announcement – Malware Announcement We’ve seen a lot of reports of a new malware going around Minecraft servers. It seems to be spread by compromised Spigot plugin-author accounts, and is somewhat…

ポテコちゃん

え、英語が・・・分からない。

内容を要約すると・・・

• マイクラサーバーを徘徊する新たなマルウェア感染が発見された。
• 感染源は一部のプラグイン開発者によって拡散されており、感染検出が困難である。
• 感染してしまうとjarファイルから別のjarファイル内部に入り込み、感染させていく。
• 感染したプラグインには、「plugin-config.bin」というファイルが含まれている。
• 感染検出は困難だが、マルウェア感染を検出するためのツールがある。

以上がPaperMCから発信された内容の要約になります。

要約に入ってない内容は後で説明するので、先に詳細を知りたい方は上記のリンクをご覧ください。

ポテコちゃん

そんなことが見つかったんだ！
怖すぎる…。

全てのマイクラプレイヤーに関する事ではなく、主にマイクラサーバー管理者に関わるお知らせだと思います。

今回、発見されたマルウェア感染の感染経路をもう少し詳しく説明すると、

感染源を持ったプラグインをダウンロードして、マイクラサーバーに導入して起動すると、悪意あるjarファイルから別のjarファイル内部へと次々に入り込み、感染させていくというものです。

そのため、感染が広がり過ぎるとOSまで感染してしまい、動作が遅くなったり、起動しなくなるという事態になる可能性があるそうです。

そもそもマルウェア感染とは？

ポテコちゃん

ところでマルウェア感染ってなんだっけ…？

マルウェア感染とは、不正かつ有害な動作をさせるために作成された悪意のあるソフトやプログラムのことです。

「ウイルス」、「トロイの木馬」、「スパイウェア」、「ボット」などをマルウェアと呼びます。

仮にパソコンがマルウェア感染すると以下の症状等が見られるようになります。

• パソコンの動作が重くなる
• パソコンが起動しなくなる
• 突然データが消滅する
• 勝手に画面上で操作される
• DDoS攻撃の踏み台にされる

ポテコちゃん

私でもよく聞く、ウイルスやボットもマルウェアに含まれているんだね…。

揚げたてのポテト

感染してしまうと非常に厄介なので、十分に気を付ける必要があります。

どうすれば回避できるの？

ポテコちゃん

気を付けるってどうすればいいの？

揚げたてのポテト

プラグインのダウンロード前に気を付けることとダウンロード後の対処方法があるので、それぞれご紹介します。

ダウンロード前に気を付けること

①怪しいサイトからダウンロードしない

当たり前のことですが、怪しいサイトからはダウンロードしないでください。

プラグインの有名な配布サイトとして、SpigotMCやBukkitの2つが挙げられます。これらのサイトは多くの方に利用されているので信頼性があります。

しかし、最近だと掲載元はSpigotMCだけど、ダウンロードボタンを押すと、独自サイトやGithub等の外部サイトに誘導されるプラグインもあるので、一概にSpigotMCが安全とは言えません。

ポテコちゃん

じゃぁ、どうすればいいの？

揚げたてのポテト

見極めが大事だと思います。
私が実際にプラグイン記事を取り上げる際に、いくつかのポイントに注目してダウンロードするようにしています。

ポイント①：ダウンロード数を確認する

とにかくプラグインのダウンロード数を確認しましょう！

SpigotMC、Bukkitの「Total Downloads」ですね。今までどのくらいダウンロードされているかで、利用者の多さが分かります。

Total Downloadsが5000以下なら注意しましょう。（警戒心を持つということ）

使用している画像は健全なプラグインです。（念のため）

ポイント②：評価数とレビューを確認する

評価（★の数）と評価数の多さも大切です。

★が5個あったとしても評価数が1桁だったら、評価の平均が高くなるので当然なので評価数にも注目が必要です。

また、プラグインを使用した方が、使用感や感想等のレビューを投稿しています。

たまにレビューで「このプラグインは悪意のあるプログラムが含まれている！」と注意喚起してくれる方がいらっしゃるので、ほとんど英語ですがレビューも読みましょう。

ポイント③：投稿者の情報を確認する

投稿者が他に投稿しているプラグインがあれば上記のポイント①と②を確認します。

無ければGithubやTwitter、Discord等を確認して怪しい内容がないかチェックしています。

揚げたてのポテト

正直、ポイント③を確認する必要は無いかもしれませんが、私はここも注視しています。

②友人や知り合い等の第三者から受け取って使用しない

仲の良い友達や知り合い等の第三者からプラグインが送られてきてもダウンロードしないでください。

例えば、有名なプラグインでWorldEditとありますが、友達からWorldEditと名前の付いたプラグインが送られてきても、中身が本物とは限りません。

なので必ず、公式サイトからダウンロードするようにしてください。

揚げたてのポテト

過去に第三者から受け取って実はウイルスでした！という事例を実際に見ています。身内でも気を付けましょう！

＼当サイトがおすすめしたいマイクラのレンタルサーバー／

＼当サイトがおすすめしたいマイクラのレンタルサーバー／

スクロールできます

レンタルサーバー	特徴
Xserver VPS	バニラサーバーが自動構築だからすぐ遊べる 圧倒的低価格で高性能＆高速回線サーバーを提供 特に12ヶ月以上の料金がおトク マイクラサーバーの設定が初心者でも分かりやすい
ConoHa for GAME	新しくConoHa for GAMEとなってリニューアル バニラ／MODサーバーが自動構築だからすぐ遊べる 初回利用は800円クーポンが貰える 1ヶ月以上利用する方は長期割引パスの料金がおトク
Agames	バニラ／MOD／プラグインサーバーが自動構築 学生向けの割引で月額料金から15%～25%割引 月額350円～の低価格で使える（実質2,000円～） マイクラサーバーに詳しいサポーターが充実してる

レンタルサーバーはこんな人におすすめ！

 「パソコンの性能（スペック）が足りない」

 「ポート開放が上手くできない」

 「難しくてよく分からない」

揚げたてのポテト

当サイトでは、上記のレンタルサーバーを徹底解説しているので初めての方でも分かりやすいと好評です！

ダウンロード後の対処方法

先程は、プラグインのダウンロード前に気を付けることを紹介しました。

もし既にプラグインをダウンロードしてしまって、感染しているか調べたい！という方は以下の方法で分かります。

必ずしもマルウェア感染を検出できるようではないようです。

マイクラサーバーのコンソールやログファイルに以下のエラーがあると感染している可能性があります。

java.net.NoRouteToHostException: No route to host

また、感染したjarファイルの内部には、「plugin-config.bin」というファイルが含まれており、これを探し出す方法があります。

検索コマンドを用いた探す方法【時間が掛かる】

以下の方法は全フォルダから「plugin-config.bin」を検索し、探し出すというコマンドです。

検索にかなりの時間が掛かるので予めご注意ください。

Windowsの場合

STEP

コマンドプロンプトまたはWindows PowerShellを開く

左下の検索から、「コマンドプロンプト」と検索し、コマンドプロンプトを開きます。

STEP

検索コマンドを実行する

コマンドプロンプトが開いたら、以下のコマンドを入力し、実行してください。

findstr /sml /c:"plugin-config.bin" *

STEP

検索終了

何も表示されなければ、マルウェア感染していません。

「plugin-config.bin」が見つかれば感染している可能性があります。

感染した場合の対処方法はこちら

Linuxの場合

ターミナルから以下のコマンドを入力し、実行してください。

grep -R "plugin-config.bin" .

検索が終了して、何も表示されなければ、マルウェア感染していません。

「plugin-config.bin」が見つかれば感染している可能性があります。

感染した場合の対処方法はこちら

アンチマルウェア検出ツールを用いて探す方法【PaperMC推奨】

OpticFusion1氏が作成したアンチマルウェア検出ツール「MCAntiMalware」を使用します。

こちらのツールはマイクラプラグインのマルウェアを多く検出してきており、かなり実績があるようです。

もちろん完璧な検出はできないので、有名なプラグインを検知してしまうといった誤検出もあるとのこと。

詳細については以下のサイトをご覧ください。（Google翻訳等推奨）

MCAntiMalware｜Github

GitHub – OpticFusion1/MCAntiMalware: Anti-Malware for minecraft Anti-Malware for minecraft. Contribute to OpticFusion1/MCAntiMalware development by creating an account on GitHub.

MCAntiMalwareの使い方

月に1回程度の間隔で定期的にチェックしていきましょう！

STEP

ダウンロードする

以下はMCAntiMalwareのダウンロードリンクです。

ダウンロード｜Github

Releases · OpticFusion1/MCAntiMalware Anti-Malware for minecraft. Contribute to OpticFusion1/MCAntiMalware development by creating an account on GitHub.

「MCAntiMalware.jar」をクリックするとダウンロードが開始されます。

STEP

MCAntiMalwareを起動する

まず、マイクラサーバーを起動していたら停止してください。

MCAntiMalware.jarをマイクラサーバーのフォルダ内に入れます。

バッチファイルまたはシェルファイル等で実行します。

java -jar MCAntiMalware.jar

実行すると、自動的に検索が開始されます。

検索に時間が掛かるので予めご注意ください。

STEP

検索終了

検索が終了すると、フォルダ内に「AntiMalware」フォルダが生成されています。

その中のlogsフォルダ→latestファイルを開きます。

ログに何も表示されてなければ感染しておりません。

感染した場合の対処方法はこちら

もし、感染してしまったら…

感染しているのを発見してしまったら、とりあえず落ち着きましょう！

1つの感染が見つかったら、既にパソコンやサーバー全体に感染が広がっていると考える必要があります。

感染が検出されたファイルを削除してもマルウェアは残り続けるので、取る処置は「OSの再インストール」が推奨されています。

再インストール方法は、検索すると色々出てくるので有志サイトを参考にしてください。

誤検出の可能性もあるのでもう一度、再検索をしてもいいかもしれません。

揚げたてのポテト

こうならないためにも気を付けてください。

ポテコちゃん

分かった、気を付けるよ。
感染したらすごく面倒だし…。

最後に

プラグインを扱っているマイクラサーバー管理者には必ず見てほしい記事です。

是非、当記事を周知してください。

こういった対策を行っても、マルウェアはあらゆる手段で進化していきます。なので、常に警戒心を持ちながら扱っていきましょう。

今回は、プラグインで見つかりましたが、MODやサーバーファイル、統合版のアドオン等のダウンロードする全てが対象されると思っているので、感染には十分に気を付けてください。

揚げたてのポテト

最後までお読みいただきありがとうございました。
次回の記事でお会いしましょう！

あわせて読みたい

【マイクラ】Log4j2問題に関する対処方法のまとめ【バニラ／プラグイン／Forge対応】 こんにちわ、揚げたてのポテトです。 どうもー！助手のポテ子ちゃんです！ 先日、Log4j2の脆弱性に関する問題が話題になりましたね。 え！？そうなの？初耳なんだけど…..