Robloxアカウント61万件、19歳らが奪った経路

ドロホビチに住む19歳の若者が、世界中のRoblox利用者から61万件のアカウントを奪い、ロシアの闇市場で売りさばいていた。被害総額は約22万5000ドル。子どもの遊び場が、戦時下の犯罪インフラに飲み込まれている。

子どものゲームが、戦時下の換金装置に変わるまで

ウクライナのリヴィウ州警察と検察庁が、Robloxのアカウント61万件以上を不正に乗っ取り、ロシア国内のサイトで転売していた3人組を摘発した。組織を率いたのは、リヴィウ州ドロホビチに住む19歳の若者だ。共犯者は21歳と22歳。発表は4月27日付で、ウクライナ検察庁および同サイバーポリスから出された。

被害規模は単なる若者の小遣い稼ぎを大きく超えている。グループは2025年10月から2026年1月までのおよそ4カ月間で61万件超のアカウントをスキャンし、そこから「価値の高い」357ファイルを選別。販売益は約22万5000ドル(約3550万円)に達したとされる。捜索では2万5000ユーロ超の現金、約3万5000ドルの現金、デスクトップPC11台、ノートPC7台、スマートフォン37台などが押収された。

驚くべきは手口の地味さだ。ゼロデイも、洗練された侵入手法もない。彼らが使ったのはCookieだった。

「魔法のチート」というエサ、Cookieという扉

スキームはこうだ。19歳のリーダーは、ゲームフォーラムで2人の共犯者を勧誘し、Roblox向けの「ゲーム強化ツール」を装った インフォスティーラー (情報窃取型マルウェア)を配布した。Roblox利用者の多くは子どもや10代であり、「無料でRobuxが手に入る」「キャラクターが強くなる」という誘い文句に弱い。インストールが終わった瞬間、被害者のPCからログイン情報とCookieが抜き取られていく仕組みだ。

ここでCookieの意味を整理しておきたい。Cookieはブラウザがログイン状態を覚えておくためのデータで、これさえあればパスワードを知らなくても他人のアカウントに入れる。二要素認証すらバイパスできる ケースがあり、近年のアカウント乗っ取りで最も成功率の高い経路の一つになっている。Robloxのような長時間滞在型プラットフォームは、Cookieが長期間有効な傾向があり、攻撃者にとって相性がよい。

Cookieは「鍵そのもの」ではなく「鍵を持ち主に見せる必要のない通行証」だ。本人の指紋もパスワードも要らないまま、システムは「あなた本人ですね」と扉を開ける。だからこそ、インフォスティーラーが奪うのはパスワードではなくCookieになっていく。

なぜ「Roblox特化」が成立したのか

事件で見落とされやすいのは、ターゲットがRobloxという一つの巨大経済圏に絞られていた点だ。Robloxは単なるゲームではなく、ユーザーが自分でゲームを作り、Robuxという仮想通貨で取引する経済圏になっている。レアアイテムや限定装備は、現実の通貨で数百ドル〜数千ドル相当の価値を持つことも珍しくない。

捜査当局は61万件のうち357件を「エリート」アカウントと評価した。割合にすればおよそ0.06%だ。攻撃側にとって意味があるのは、その「0.06%」が一件あたり数十ドルから数百ドルで売れる構造の方だろう。残り99.94%は背景でしかない。

そして売り場はロシア国内のサイトと「クローズドな」オンラインコミュニティだった。決済は暗号資産。これは偶然ではない。ロシアでは2025年12月3日にロスコムナゾール(国家通信規制機関)がRobloxを全面遮断しており、月間1800万人とも推定された利用者が突然サービスから切り離された。理由は「過激主義および同性愛宣伝の流布」とされている。表向きの利用は閉ざされても、欲しがる需要は消えない。需要が地下に潜るとき、必ず誰かが供給ルートを作る。

表のサービスを禁じれば、市場は地下に潜る。地下市場では、本来なら成立しないはずの「東欧で奪い、ロシアに売る」というフローが成立する。経済制裁と国内禁輸の隙間に、こうした犯罪インフラがそっと根を張っていく。

19歳のリーダーが映し出す、戦時経済の歪み

リヴィウ州ドロホビチは人口約7万人の地方都市だ。詩人イヴァン・フランコの故郷として知られ、19世紀以来の塩産業と石油精製が地場の経済基盤である。戦時下のウクライナ西部で、若者がIT技能をどう生計に繋げるかは難題だ。正規IT産業の人材流動は激しいが、地方都市の19歳に開かれた選択肢はそう多くない。

このことは犯罪を擁護する材料にはならない。だが、「なぜ19歳がリーダーだったのか」を考える材料にはなる。インフォスティーラーはダークウェブで購入可能な既製品が多く、運用コストは低い。一方で得られる収益は4カ月で22万5000ドル相当だ。彼らが選んだ販売先がロシアだったことも、戦時下のウクライナ国内では資金洗浄が困難だという現実と無縁ではない。

ウクライナ検察庁は3人をウクライナ刑法第185条第4項(窃盗)および第361条第5項(情報システムへの不正侵入)違反で起訴した。最大15年の禁錮刑 が科される可能性がある。捜査の過程で、容疑者の知人だった44歳の男が大麻所持で別件逮捕されているのも、この事件の縁辺にどんな人間関係が広がっていたかを示唆する細部だ。

親と利用者が今できること

この事件は「他人事」では終わらない。Robloxの月間アクティブユーザーは世界で約3億8000万人。日本での利用者も急増しており、Roblox自身が2025年第4四半期の予約金額(Bookings)で日本市場の前年比160%成長を公表している。インフォスティーラーは国境を選ばない。

The Recordの取材によれば、被害者にはウクライナ国内だけでなく外国のプレイヤーも含まれていたという。Cookie窃取が成功すれば、被害者は「ログインできなくなって初めて気づく」しかない。気づいた頃には、レアアイテムも残高も消えている。

家庭でできることはシンプルだ。「ゲームを有利にする」と謳う非公式ツールを子どもがダウンロードしていないか確認する。怪しいツールはアンインストールし、Robloxアカウントは強固なパスワードに変更したうえで全セッションをサインアウトさせる。可能なら2段階認証を有効化する。

技術的に言えば、インフォスティーラーの一次感染源を断つことが最大の防御だ。署名のない実行ファイル、海賊版ソフト、SourceForgeやGitHubで配布される「クラック」「チートMOD」を子どものPCに入れない。これだけで、今回のグループが使った経路の大半は塞がる。

子どものRobuxを守ることと、家族のクレジットカード情報を守ることは、技術的には同じ問題だ。インフォスティーラーは一度入り込めば、Robloxだけを盗むわけではない。

終わらない構造、続く投資

ウクライナ当局は捜査を継続し、共犯者および被害者の特定を進めている。3人が摘発された一方で、同じ手法を使う別グループが今この瞬間にも稼働している可能性は高い。インフォスティーラーのエコシステムは、捕まる側よりも作る側・配る側・買う側の方が圧倒的に多く、しかも世代交代が早い。

この事件で問われているのは、ウクライナの一地方都市の若者の倫理ではない。子ども向けプラットフォームが現金化可能な経済圏に育った瞬間から、標的価値が確定する という構造そのものだ。Robloxは仮想通貨経済を成立させた成功者であり、同時に、その成功ゆえに最も狙われるプラットフォームでもある。

61万件という数字は、技術の話ではない。子どもの遊び場が、いつのまにか換金装置に変わっていたという話だ。

参照元

• The Record - Ukrainian police detain hackers suspected of stealing thousands of Roblox accounts for resale

他参照

• The Washington Post - Roblox blocked in Russia; young gamers really want it back

関連記事

• Roblox、5〜15歳を年齢別アカウントに隔離する大改革
• Claude Codeソース流出が招いた罠：偽リポジトリがマルウェアを配布
• 中国製コアを積んだロシア製CPU「イルティシュ」でウィッチャー3が動いた
• CIHから27年、PC物理破壊マルウェアが消えた本当の理由
• パッチでは消えないバックドアFIRESTARTER、米Ciscoに潜伏
• ホルムズ海峡で暗号資産詐欺、払った船が銃撃される
• ランサムウェア交渉人が裏で手引き、7500万ドル恐喝に加担
• ロシア製シャヘドドローンが空中分解、撃墜映像が暴く量産崩壊
• 米国人2人に計16年8ヶ月、北朝鮮ITラップトップファームの代償
• Chrome拡張108本がC2共有、Telegram乗っ取りも