ゲームセキュリティ診断(チート対策ペネトレーションテスト)

ゲーム診断の概要

ソーシャルゲームやブラウザゲームを対象に、セキュリティ上の脆弱性の発見に加え、様々なチート行為の実施可否の検証を行ないます。
悪意あるゲームユーザーの視点で、実際にゲームをプレイしながら様々な攻撃を試行することにより、ポイントやアイテムの不正入手、イベントの迂回など一般的なデバックでは発見の難しい問題も明らかにすることが出来ます。

ソーシャルゲームやブラウザゲームに関する脆弱性診断(ペネトレーションテスト)のイメージ。様々なチート行為に関する検証のほか、アクセスの制御や暗号化通信の適用状態なども診断します。

ゲームセキュリティ診断とは

ゲームセキュリティ診断とは、オンラインゲームやソーシャルゲームにおいて、セキュリティ上の脆弱性やチート行為に対する脆弱性を評価するための手法です。

開発者や運営者が意図していないゲーム内での不正行為やチート、ハッキングなどを防ぐことで、公平で安全なゲーム環境を提供し、ビジネスの安定性や信頼性を高めることが可能です。

機密性を重視した依頼を送る際はこちらからお願いいたします。

cdiprivacydummy@protonmail.com

チート行為例と影響

不正なアイテムの入手

不正な手段を用いて通常は得られないアイテムや特典を入手することで、正規の手段では得られない優位性を持つプレイヤーが現れ、ゲームバランスに影響を与える可能性があります。

ステージの不正解放

プレイヤーが通常は解放されないはずのステージやコンテンツに不正にアクセスすることで、開発者が意図した進行や難易度のバランスが崩れ、プレイヤーが公平にゲームを進めることが難しくなります。

課金の回避

プレイヤーが課金要素を回避し、有料アイテムやサービスを無料で入手することで、運営の収益に影響を及ぼします。

aimbot

プレイヤーが自動かつ正確に相手を攻撃するツールを使用することで、プレイヤーが通常よりも優れたスキルを持つようになり、公正な対戦環境が損なわれます。

偽のアカウントやバグの悪用

複数の偽のアカウントを作成したり、ゲーム内のバグを悪用することでランキングや評価を改ざんします。

ゲーム診断サービスの詳細

特徴

悪意あるユーザー視点でのテスト

悪意あるゲームプレイヤーとしての優れたセンスとスキルを併せ持つセキュリティエンジニアが診断を実施します。ゲームのロジックと実装に関する深い理解にもとづき様々な攻撃を試行することで、深いレベルで脅威を顕在化させます。

柔軟なサービス、きめ細やかなフォロー

即日中の速報提出、改修箇所の確認など、お客さまのご要望に応じたきめ細やかなサービスを提供いたします。

さらに高度な診断も可能

ゲーム診断の高度なオプションサービスとして、通信の暗号鍵が容易に取得可能かなどの検証も可能です。

ゲーム診断の診断項目

No.タイトル概要
1. ゲームロジック 課金やポイント処理、戦果報酬、プレゼント受取の不正利用等、ゲーム内のロジック実装不備をついた攻撃の可能性について検査します。

例:
・リザルトデータの改ざん
・開放要素の制限回避
・キャラクターステータスのチート行為
・ゲーム内通貨の不正増減
・ガチャ景品の不正取得
etc
2. 認証セッション管理 認証セッションの発行、更新、破棄といった一連のサイクルにおける問題の有無を特定する他、強度の妥当性について検査します。
3. 入出力値検証 SQLインジェクションやクロスサイトスクリプティング、ディレクトリトラバーサル等の攻撃の起点になり得る入出力箇所を検査します。
4. リクエストの正当性 クロスサイトリクエストフォージェリ(CSRF)など、ログインした利用者又は何らかの処理を実行しうる利用者が、処理を意図せず実行させられてしまう可能性について検査します。
5. アクセス制御 各利用者に与えられた権限以外の操作ができる可能性について検査します。
6. 重要な情報の管理 パスワードやクレジットカード、住所等の個人情報の取り扱い方法の妥当性について検査します。
7. プラットフォームの設定 Webサーバやアプリケーションプラットフォームの設定不備による問題(ディレクトリリスティング、デフォルトエラーページなど)や暗号化通信(SSL)の適用状態などを検査します。

ゲーム診断の流れ

Step1. 事前準備

診断の対象となるゲームの内容や特性をヒアリングした後に、診断方針およびお見積りをご提案します。

Step2. 契約手続き

お見積もりと診断内容をご確認のうえ、問題がなければ診断実施のスケジュールを決定し、ご契約手続きを行います。

Step3. 実施準備

診断を実施するに際し影響を受けるおそれのある全ての関係者様に対して事前に周知を行っていただき、診断実施の社内共有をお願いしています。

Step4. 診断実施

診断対象となるゲームに対して、不正行為やチート、脆弱性の発見を試みます。 脆弱性を検出した場合、想定される脅威、推奨する対策方法などを記載した速報を提出いたします。これにより危険度の高い脆弱性に対して迅速に対処いただくことが可能です。(速報は原則として診断当日の19:00までにメールで提出するものとし,提出時間に変更がある場合は事前にご連絡いたします。)

Step5. 脅威分析

脆弱性が発見された場合、個別の脅威だけでなくそれらの組み合わせによって大きな脅威となりうる可能性も考慮した入念な分析を行います。

Step6. 結果報告

ゲームセキュリティ診断の結果を報告いたします。結果を総括した総合評価となる「エグゼクティブサマリ」と発見された脆弱性の危険度、脆弱性を利用して成功した攻撃の分析レポート、推奨対策などを細かく記載した「脅威シナリオ」からなる報告書を納品いたします。

ソーシャルゲームやブラウザゲームに関する脆弱性診断(ペネトレーションテスト)の一連のフロー。診断対象の調査と費用のお見積もりを提示し、ご関係者様への周知を経て実際に診断を実施いたします。診断後、結果を分析し、速やかに報告書を納品いたします。

ゲーム診断の費用

対応内容・期間などにより変動いたします。予算に応じた診断範囲をご提案することも可能です。下記お問い合わせよりお気軽にご相談ください。

機密性を重視した依頼を送る際はこちらからお願いいたします。

cdiprivacydummy@protonmail.com