株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

セキュリティ診断

チート対策ペネトレーションテスト

Inspection & Consulting

チート行為からゲームを守るために、
疑似攻撃とソースコード解析で脆弱性を発見・改善策を提案

ユーザーのゲーム体験を損なうチート行為が問題になっています。チート対策ペネトレーションテストは、セキュリティの専門チームがゲームを実際にプレイした上で、疑似チート攻撃・ソースコード解析を実施し、診断対象のゲームに特化した脆弱性の検出と改善方法を提案します。

サービスの強み

経験豊富なセキュリティエンジニアによる
疑似チート攻撃+ホワイトボックステストで徹底調査

ゲームセキュリティを熟知したセキュリティエンジニアが、攻撃者視点でソースコードを確認するホワイトボックステストと疑似チート攻撃を行い、ゲーム全体の脆弱性の有無を調査します。特定の項目のみを調べるのではなく診断対象の特性に合わせたフルカスタム調査のため、高い効果を実感できます。また、あらゆる言語、プラットフォームに対応しており、Unity/Unreal Engine/Cocos2dなど様々なゲームエンジンの調査が可能です。

経験豊富なセキュリティエンジニアによる疑似チート攻撃+ホワイトボックステストで徹底調査

チートとは

「チート」とは、ゲームのプログラムの不正な改造や通信内容の改ざんによって、ゲームに存在する脆弱性や仕様を悪用し、ゲームバランスを崩壊させる行為です。チートには、不正課金による有料アイテムの窃取、アカウントの不正取得、キャラクターのパラメータ改ざんよるゲームバランスの崩壊、チート情報の拡散、RMTによる不正入手アイテムの販売、DoS攻撃によるサービスの妨害などの違法行為などがあります。そのようなチート行為をするプレイヤーを「チーター」と呼びます。

チート行為による収益減少やプレイヤー離れを防止

  1. 収益減少につながる脆弱性を発見
    課金アイテムの不正取得などを行える脆弱性を発見・修正しておくことによりチート行為による収益減少を防ぎます。
  2. プレイヤー離れを防止
    チートによりゲームバランスが崩壊してしまうことでユーザーが離れてしまう、ゲームへのイメージ低下などのリスクを防ぎます。
  3. セキュアコーディング
    ソースコード上で問題がある個所と、検証結果および改善方法を報告書に記載するため、脆弱性を迅速かつ確実に修正できます。また、実際に診断を実施した診断員が報告会に参加し、お客様の疑問点を解消します。

サービスの流れ

  1. 事前打ち合わせ
    診断を実施する背景および貴社、ゲームの理念等について詳しく打ち合わせを行い診断の方向性を確認します。

    ※ 必要に応じてNDAを締結します。

    事前打ち合わせ
  2. テストプレイ・ソースコード調査
    セキュリティエンジニアが「悪意あるチーターの目線」で実際にゲームをプレイしながら、チート行為を想定します。また、ソースコードを詳細に確認することで、ゲームプレイ時に想定されたチート行為の実現性を探ります。
    テストプレイ・ソースコード調査
  3. 実現性検証
    ゲームプレイと調査結果をもとに、想定されうる、あらゆる「チート行為」に対する実施可否を検証します。

    ※ STEP2とSTEP3を反復し、検証します。

    実現性検証
  4. 攻撃影響度判定
    調査対象ゲームの性質と対象ソフトの性質に合わせた形で個別に攻撃影響度を判定します。
    攻撃影響度判定
  5. 診断報告書作成
    チーター目線での対象ゲームのセキュリティ総合評価、影響度の詳細判定およびソースコードレベルでの問題点に関する指摘を報告書の形式で詳細に取り纏めます。(必要に応じてコラボレーションツール等でリアルタイムに報告することも可能です。)
    診断報告書作成
  6. 報告会開催
    上記報告書を元に、調査員がお客様先にて報告をさせて頂きます。
    報告会開催

※ 1~6までの流れは、およそ2カ月単位での参考スケジュールです。

調査時に発見された実行可能なチート行為と報告例

クエストクリア結果の改ざん

クエストクリア結果送信時に、通信内容やメモリ上の値を高スコア・高難易度のクエストIDへ改ざんするといったチート行為

ガチャ試行やクエスト終了リクエストの多重同時送信

ガチャ試行のリクエストを同一タイミングで多重に送信した際に、適切に有償のゲーム内通貨が消費されずに、ガチャを複数回実行するといったチート行為

レシートの使い回しや詐称による、有償アイテムの不正取得

クライアントから購入したアイテムIDや価格、個数などを改ざんした通信が送信されることにより、receiptの再利用や購入アイテムの詐称をするといったチート行為

ほかの検査や診断手法との比較

検査手法 ラックの
チート対策
ペネトレーションテスト
ファジング 一般的な
脆弱性診断
一般的な
ソースコード
セキュリティ検査
ソースコード 必要
(ホワイト
ボックス)
必要なし
(ブラック
ボックス)
必要なし
(ブラック
ボックス)
必要
(ホワイト
ボックス)
検査可能な
脆弱性の種類
広範囲の
種類の脆弱性
主に
リソース管理に
関する脆弱性
限定的な
種類の脆弱性
(主に一般に知られている脆弱性)
広範囲の
種類の脆弱性
問題個所
の特定
× ×
現象の
確認
×
脆弱性の
種類の
判定
×
修正箇所
の再評価
× × ×
脆弱性に
繋がりうる
箇所の指摘
× × ×
検査手法 ラックの
チート対策
ペネトレーションテスト
ファジング 一般的な
脆弱性診断
一般的な
ソースコード
セキュリティ検査
ソースコード 必要
(ホワイト
ボックス)
必要なし
(ブラック
ボックス)
必要なし
(ブラック
ボックス)
必要
(ホワイト
ボックス)
検査可能な
脆弱性の種類
広範囲の
種類の脆弱性
主に
リソース管理に
関する脆弱性
限定的な
種類の脆弱性
(主に一般に知られている脆弱性)
広範囲の
種類の脆弱性
問題個所
の特定
× ×
現象の
確認
×
脆弱性の
種類の
判定
×
修正箇所
の再評価
× × ×
脆弱性に
繋がりうる
箇所の指摘
× × ×

報告書サンプル

ラックだからこそできるソースコードレベルでの指摘を含めた具体的な改善報告書を納品します。

報告書サンプル:攻撃者目線による総合評価と攻撃影響度の判定
攻撃者目線による総合評価と
攻撃影響度の判定
報告書サンプル:ソースコードレベルでの指摘と提案
ソースコードレベルでの指摘と提案
報告書サンプル:攻撃者目線による総合評価と攻撃影響度の判定
攻撃者目線による総合評価と攻撃影響度の判定
報告書サンプル:ソースコードレベルでの指摘と提案
ソースコードレベルでの指摘と提案

よくあるご質問

ブラックボックステストはできますか
はい、可能です。お気軽にご相談ください。
調査できないOSや言語はありますか
いいえ、調査対象のOS・言語は不問です。あらゆる言語、プラットフォームの調査が可能です。

価格

ヒアリングを実施後、個別にお見積もりします。お気軽に問い合わせください。
参考価格は300万円~です。

「チート対策ペネトレーションテスト」に関するお問い合わせ