株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

セキュリティ診断

オンライン不正・チート対策診断

Inspection & Consulting

オンラインサービスの不正利用がされないか、実際に攻撃して脆弱性をあぶり出し改善策を提案

利用者が急増するWeb会議システムやチャットツール、ECサイト、ポイント付与アプリなどのオンラインサービスやゲームなどを動作させながら、疑似的にリクエストの改ざんを試み、不正ができないかチェックします。診断対象の特性に合わせた脆弱性を調べ、改善方法を提案します。

サービスの強み

ラックの専門診断員がドキュメントを読み込みソースコードを確認する
ホワイトボックステストによって徹底調査

オンライン不正・チート対策診断の利用が有効なケースは、例えば不正ログインを受けて信用問題が発生しているようなケースです。さらに、BANする作業の対象ユーザー数が多過ぎて、運営者が「BAN地獄」に陥っている場合にも有効です。個人情報目的の攻撃があることを十分認識しているものの、開発者が被害を防ぐセキュアコーディングのノウハウを持っていない、セキュアコーディングのノウハウが活用できていないといったケースにも有効です。

オンラインサービスの信頼性を向上し、ユーザー離れを防止

  1. 信頼性の向上
    不正を防止し、セキュリティを高めることでオンラインサービスの信頼性を向上します。
  2. ユーザー離れを抑止
    不正対処のための長期メンテナンスやサービス停止などの期間にユーザーが離れてしまうなどのリスクを防ぎます。
  3. セキュアコーディングの推進と安定したサービス運営
    診断の中で、ラックから改善方法を提案することで、より安全な開発、セキュアコーディングとサービス運営の安定化を実現します。

オンライン不正・チート対策診断の流れ

オンライン不正・チート対策の診断担当チームが、事前打ち合わせから報告会の開催まで全てのフェーズを担当します。

  1. 事前打ち合わせ
    診断を実施する背景とシステム構成やボリューム感などについて詳しく打ち合わせし、診断の方向性を確認します。

    ※ 必要に応じて秘密保持契約(NDA)を締結します。

  2. テストプレイ
    ソースコード調査
    診断員が「悪意ある攻撃者の目線」にて実際に動作確認し、攻撃方法を想定します。また、ソースコードを詳細に確認することで、動作確認時に想定された攻撃の実現性を探ります。
  3. 実現性検証
    動作確認及び調査結果を基に、想定され得るあらゆる「悪意ある攻撃者の行為」に対する実施可否を検証します。

    ※ STEP2とSTEP3を反復し、検証します。

  4. 攻撃影響度判定
    「悪意ある攻撃者の行為」を対象ソフトウェアの性質に応じて、個別にその攻撃影響度を判定します。
  5. 診断報告書作成
    攻撃者目線での対象ソフトウェアのセキュリティ総合評価、影響度の詳細判定及びソースコードレベルでの問題点に関する指摘を報告書の形式で詳細に取りまとめます。(必要に応じてコラボレーションツールなどでリアルタイムに報告することも可能です)
  6. 報告会開催
    上記報告書を基に、診断員が報告します。

※ 1~6までの流れは、およそ2カ月単位での参考スケジュールです。

攻撃者の目線に立ち徹底調査

ラックのオンライン不正・チート対策診断では、経験豊富な診断員がドキュメントや仕様書を読み込み、ソースコードを確認する「ホワイトボックステスト」によって徹底調査します。

  • 攻撃者の行為を徹底的に想定
    攻撃者目線で実際に製品に触れ、悪意ある攻撃者の行為を徹底的に再現し、想定します。
  • 実際のソースコードを確認
    ソースコードを読み解くホワイトボックステストにより、攻撃行為の実現可能性を確認します。
  • 詳細な検証
    確認された攻撃行為をテスト環境で実行し、詳細に検証します。
  • 攻撃者目線で影響度を判定
    検証された攻撃行為が及ぼす影響度を、攻撃者目線で判定します。
  • 改善策を提案
    具体的な改善策を提案し、診断結果を報告します。
  • 新たな対策手法を研究
    国内外のチート/チート対策事例の調査、新たな対策手法の研究

ほかの検査や診断手法との比較

「経験豊富な診断員による手作業」+「ホワイトボックステスト」により、調査対象のソフトウェアをソースコードレベルで、開発者の癖などを含めて全方位で検査し、指摘、報告できます。

検査手法 ラックの
オンライン不正
チート対策診断
ファジング 一般的な
脆弱性診断
一般的な
ソースコード
セキュリティ検査
ソースコード 必要
(ホワイト
ボックス)
必要なし
(ブラック
ボックス)
必要なし
(ブラック
ボックス)
必要
(ホワイト
ボックス)
検査可能な
脆弱性の種類
広範囲の
種類の脆弱性
主に
リソース管理に
関する脆弱性
限定的な
種類の脆弱性
(主に一般に知られている脆弱性)
広範囲の
種類の脆弱性
問題個所
の特定
× ×
現象の
確認
×
脆弱性の
種類の
判定
×
修正箇所
の再評価
× × ×
脆弱性に
繋がりうる
箇所の指摘
× × ×
検査手法 ラックの
オンライン不正
チート対策診断
ファジング 一般的な
脆弱性診断
一般的な
ソースコード
セキュリティ検査
ソースコード 必要
(ホワイト
ボックス)
必要なし
(ブラック
ボックス)
必要なし
(ブラック
ボックス)
必要
(ホワイト
ボックス)
検査可能な
脆弱性の種類
広範囲の
種類の脆弱性
主に
リソース管理に
関する脆弱性
限定的な
種類の脆弱性
(主に一般に知られている脆弱性)
広範囲の
種類の脆弱性
問題個所
の特定
× ×
現象の
確認
×
脆弱性の
種類の
判定
×
修正箇所
の再評価
× × ×
脆弱性に
繋がりうる
箇所の指摘
× × ×

具体例から見るオンライン不正・チート対策診断の効果

  • ドキュメントや仕様を理解した上で、意図的に悪意ある攻撃を実施し、脆弱性を検出
    ソースコードの確認とともに検証環境で実際に攻撃し、大切なソフトウェア上で発生し得る被害の可能性を検証します。診断員がソフトウェアの動作を実際に確認し、システムを理解した上でソースコードをレビューし、意図的に不正行為を実施して脆弱性を検出します。
  • 検出した脆弱性に対する改善方法を提案
    検出された脆弱性への改善方法をお知らせします。ソースコードを提供することで、問題となる箇所をピンポイントで指摘し、具体的な修正方法を提案します。また、企業が修正したソースコードについて、「検出した脆弱性を利用した不正行為を防げているか」「修正したことにより新たな不正行為が可能になっていないか」を確認します。

診断サンプル

ラックの診断サービスだからこそできるソースコードレベルでの指摘を含めた具体的な改善報告書を納品します。

攻撃者目線による総合評価
攻撃者目線による総合評価
攻撃影響度の判定
攻撃影響度の判定
ソースコードレベルでの指摘と提案
ソースコードレベルでの指摘と提案

価格

ヒアリングを実施後、個別にお見積もりします。お気軽に問い合わせください。
参考価格は300万円~です。

「オンライン不正・チート対策診断」に関するお問い合わせ