株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

自分で調べる

セキュリティ診断

オンライン不正・チート対策診断

実際に攻撃して脆弱性をあぶり出し、改善策を提案する

IoTデバイスペネトレーションテスト

利用者が急増するWeb会議システムやチャットツール、ECサイト、ポイント付与アプリ、グループウェアなどのオンラインサービスにおける不正の横行や、ゲームの世界の健全な運営を悪用するチートの存在が問題になっています。利用者が増えるほど悪意ある攻撃者に狙われやすくなり、顧客情報が流出するリスクが生じるため対策が必要です。

オンライン不正・チート対策診断では、診断対象のソフトやアプリを実際に動作させた上で、クライアントやリクエストの改ざんを試みます。これにより、診断対象の製品に特化した脆弱性を検出し、改善方法を提案します。

攻撃者の目線に立ち徹底調査

ラックのオンライン不正・チート対策診断では、経験豊富な診断員がドキュメントや仕様書を読み込み、ソースコードを確認する「ホワイトボックステスト」によって徹底調査します。

  1. 攻撃者の行為を徹底的に想定
    攻撃者目線で実際に製品に触れ、悪意ある攻撃者の行為を徹底的に再現し、想定します。
  2. 実際のソースコードを確認
    ソースコードを読み解くホワイトボックステストにより、攻撃行為の実現可能性を確認します。
  3. 詳細な検証
    確認された攻撃行為をテスト環境で実行し、詳細に検証します。
  4. 攻撃者目線で影響度を判定
    検証された攻撃行為が及ぼす影響度を、攻撃者目線で判定します。
  5. 改善策を提案
    具体的な改善策を提案し、診断結果を報告します。
  6. 新たな対策手法を研究
    国内外のチート/チート対策事例の調査、新たな対策手法の研究

信頼性を向上し、ユーザー離れを防止

  • 信頼性の向上
    ソフトウェアのセキュリティを高めることで信頼性を向上します。
  • ユーザー離れを抑止
    長期メンテナンスやサービス停止などの期間でユーザーが離れてしまうことを防ぎます。
  • セキュアコーディング
    診断の中で、ラックから改善方法を提案することで、セキュアコーディングを実現します。

オンライン不正・チート対策診断で支援するケース

不正ログインを受けて信用問題が発生している

ポイント付与アプリへの不正ログイン報告が発生。長時間に及ぶメンテナンスの末、無事に脆弱性の修正に成功したが、インシデントがニュースで報じられたことで信用問題へと拡大してしまった。

「BAN地獄」から抜け出せない

ゲーム内でチート行為をしているユーザーをすぐにBAN(アカウントの停止)したが、該当ユーザー数が多過ぎて「BANする作業」(BAN地獄)から抜け出せない。

セキュアコーディングのノウハウが活用できていない

個人情報目的の攻撃があることを十分認識しているものの、被害を防ぐセキュアコーディングのノウハウを開発先が持っているかわからない、もしくはうまく活用できていない。

ほかの検査や診断手法との比較

「経験豊富な診断員による手作業」+「ホワイトボックステスト」により、調査対象のソフトウェアをソースコードレベルで、開発者の癖などを含めて全方位で検査し、指摘、報告できます。

検査手法 ラックの
オンライン不正
チート対策診断
ファジング 一般的な
脆弱性診断
一般的な
ソースコード
セキュリティ検査
ソースコード 必要
(ホワイト
ボックス)
必要なし
(ブラック
ボックス)
必要なし
(ブラック
ボックス)
必要
(ホワイト
ボックス)
検査可能な
脆弱性の種類
広範囲の
種類の脆弱性
主に
リソース管理に
関する脆弱性
限定的な
種類の脆弱性
(主に一般に知られている脆弱性)
広範囲の
種類の脆弱性
問題個所
の特定
× ×
現象の
確認
×
脆弱性の
種類の
判定
×
修正箇所
の再評価
× × ×
脆弱性に
繋がりうる
箇所の指摘
× × ×
検査手法 ラックの
オンライン不正
チート対策診断
ファジング 一般的な
脆弱性診断
一般的な
ソースコード
セキュリティ検査
ソースコード 必要
(ホワイト
ボックス)
必要なし
(ブラック
ボックス)
必要なし
(ブラック
ボックス)
必要
(ホワイト
ボックス)
検査可能な
脆弱性の種類
広範囲の
種類の脆弱性
主に
リソース管理に
関する脆弱性
限定的な
種類の脆弱性
(主に一般に知られている脆弱性)
広範囲の
種類の脆弱性
問題個所
の特定
× ×
現象の
確認
×
脆弱性の
種類の
判定
×
修正箇所
の再評価
× × ×
脆弱性に
繋がりうる
箇所の指摘
× × ×

具体例から見るオンライン不正・チート対策診断の効果

  • ドキュメントや仕様を理解した上で悪意ある攻撃を実施し、脆弱性を検出
    ソースコードの確認とともに検証環境で実際に攻撃し、お客様の大切なソフトウェア上で発生し得る被害の可能性を検証します。診断員がソフトウェアの動作を実際に確認し、システムを理解した上でソースコードをレビューして、不正行為を実施して脆弱性を検出します。
  • 検出した脆弱性に対する改善方法を提案
    検出された脆弱性への改善方法をお知らせします。ソースコードを提供していただくことで、問題となる箇所をピンポイントで指摘し、具体的な修正方法を提案します。また、お客様が修正したソースコードについて、「検出した脆弱性を利用した不正行為を防げているか」「修正したことにより新たな不正行為が可能になっていないか」を確認します。

診断サンプル

ラックの診断サービスだからこそできるソースコードレベルでの指摘を含めた具体的な改善報告書を納品します。

攻撃者目線による総合評価
攻撃者目線による総合評価
攻撃影響度の判定
攻撃影響度の判定
ソースコードレベルでの指摘と提案
ソースコードレベルでの指摘と提案

オンライン不正・チート対策診断の流れ

オンライン不正・チート対策の診断担当チームが、事前打ち合わせから報告会の開催まで全てのフェーズを担当します。

※ 以下フローは、およそ2カ月単位での参考値です。

STEP1
事前打ち合わせ
診断を実施する背景とシステム構成やボリューム感などについて詳しく打ち合わせし、診断の方向性を確認します。

※ 必要に応じて秘密保持契約(NDA)を締結します。

STEP2
テストプレイ
ソースコード調査
診断員が「悪意ある攻撃者の目線」にて実際に動作確認し、攻撃方法を想定します。また、ソースコードを詳細に確認することで、動作確認時に想定された攻撃の実現性を探ります。
STEP3
実現性検証
動作確認及び調査結果を基に、想定され得るあらゆる「悪意ある攻撃者の行為」に対する実施可否を検証します。

※ STEP2とSTEP3を反復し、検証します。

STEP4
攻撃影響度判定
「悪意ある攻撃者の行為」を対象ソフトウェアの性質に応じて、個別にその攻撃影響度を判定します。
STEP5
診断報告書作成
攻撃者目線での対象ソフトウェアのセキュリティ総合評価、影響度の詳細判定及びソースコードレベルでの問題点に関する指摘を報告書の形式で詳細に取りまとめます。(必要に応じてコラボレーションツールなどでリアルタイムに報告することも可能です)
STEP6
報告会開催
上記報告書を基に、診断員が報告します。

価格

お客様ごとにヒアリングを実施後、個別にお見積もりします。お気軽に問い合わせください。
参考価格は300万円~です。

お問い合わせ

オンライン不正・チート対策診断
に関するお問い合わせ

いま注目されているサービス

  • teamviewer_top.png

    世界で一番支持されているリモート接続ツール「TeamViewer」が、業務効率と顧客満足度アップを実現します

  • penetration_top.png

    全セキュリティ診断のノウハウを活用した総合的セキュリティサービス「ペネトレーションテストサービス」を実現

  • Akamai.png

    サイバー攻撃の脅威からWebサイトを守り、高速で安定したサービス提供をサポート

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
配信しています
詳しくはこちら

page top