【DeNA TechCon 2017】重要なのは「何ができるのか」を知ること…「DeNAでのチート診断・脆弱性診断の取り組み」を講演で公開
ディー・エヌ・エー(DeNA)<2432>は、2月10日、渋谷ヒカリエにて、技術者向けの大規模イベント「DeNA Technology Conference 2017」を開催した。
本イベントは、「多岐にわたるDeNAの技術的チャレンジに焦点を当て、広く世に公開することで、技術進歩・進化に役立つこと」を目的に、2016年より同社が技術者向けに主催している。第2回となる2017年は、ゲームなど既存の事業におけるチャレンジのみならず、人工知能(AI)など今後注力をしていく分野を含め、ゲストスピーカーやDeNAのエンジニアが5つのステージ・31のセッションで公演を行う。
本稿では、17時より、C-STAGEにて実施された、「DeNAでのチート診断・脆弱性診断の取り組み」についての内容をレポートしていく。
■よくあるチート手法とその対策を紹介
本講演には、システム本部 セキュリティ部の杉山俊春氏が登壇。まずは、セキュリティ部の主な業務内容を紹介した。
なお、ひとえに”セキュリティ”というワードでは幅が広いため、今回の講演では、細かく分ければセキュリティを担保するために自分たちができることはあるという話を展開した。セキュリティについて杉山氏は、とあるゲームで、まだリリースしていないアイテムを所持しているユーザーがいた場合、その原因と対策を行うことである、と分かりやすい具体例を挙げた。
▲業界内では人材不足が嘆かれているとの話も。経産省が公表しているデータでは、約13万人も不足していると発表されている。さらに、IT人材の約3割が情報セキュリティ人材であるため、人材を見つけるのではなく育てることが重要だと話した。
“セキュリティ”と聞くと、難しい話だと思われがちだが、杉山氏によれば、範囲を明確にして、ひとずつ見ていけばややこしい話ではないという。そこで、DeNAで実際に行われている人材育成の取り組みについて紹介した。
DeNAでは、人材育成のために勉強用のサンプルアプリをいくつか用意しているという。本講演では、その中から2つを紹介し、実際にどのようにチートが行われているかなどを説明した。なお、本講演ではチートの手法を紹介してはいるが、あくまでも自分たちのアプリのリスクを評価するための知識を学ぶことが目的であると付け加えた。
▲社内のみでなく、高校生向けのセキュリティコンテストなど、イベントでも使用されている。
▲こちらは、チートを行わなければ絶対にクリアできないゲームになっている。CTF形式の高校生向けセキュリティイベント用に作成されたとのこと。
■「簡単なゲームでの具体的なチート例」を紹介
まずは、2つ目に紹介したツールを使っての事例。圧倒的にスタミナが足りないなど、通常のプレイではクリアできないようになっているため、HTMLを書き換えるなどしてクリアできるようにすることが目的となっている。
▲本ツールは、バトルをクライアント上で処理。結果のみをサーバに送り、データを保存している。
そこで、実際に起きると困る事象を一例として挙げた。
▲実際に数字をイジるとこのように。必殺技を何度も撃てるようにする、敵の体力を一気に減らすなどの方法がある。
ただし、最終目的であるステージ3をクリアしようとすると、上記の方法のみでは不可能になっているという。そこで、「スタミナを消費せずに戦闘を行い、レベルを上げる必要がある」と説明した。そこで、「ソースコード、レスポンスの変更」「利用中の値の直接変更」「特定命令の強制実行」「サーバに送る値の変更」といったようにパターンで分類し、できることできないことを見分けていく。
▲できることとできないことが分かれば、そこから致命的な欠陥を探れる。
また、不正を行うユーザーとしては、自身の手元にあるデータではなくサーバ上のデータを不正なものに改ざんしたいと考えていると杉山氏は言う。これを防ぐことが最終的な目標にもなるとのこと。
続いて、スマホアプリにおけるチート行為の事例として、先ほど紹介したもうひとつのアプリを使用して紹介した。
▲バトルで獲得したスコアをランキングで競うゲームとなっている。ここから、通常では使えないキャラを使えるようにすることでハイスコアを出していく。
▲通信の改ざんについて図で紹介。
続いて杉山氏は、メモリ改ざんについての手法を紹介した。
▲対策をとっていないと、数字を探して書き換えられてしまう可能性があると警告した。
▲そこで、診断に使っているツールの一例がこちらになる。使い方を習得すればチート診断が可能になる。
全ての手法に対して対策をとろうとすると、コスト的にも見合わないことが多いため、どこでバランスを取るかも重要になるという。そのため、運用でカバーしている部分もあると内情を明かした。
▲チート対策例の一部を紹介。
最後に杉山氏は本講演のまとめとして、”チート対策をするために「何ができるのか」を知ることが重要”であること、”チートの難易度と対策・運用のコストを考えながらバランス良く運営をしていく必要がある”ことを挙げ、本講演の締めとした。
(取材・文:編集部 山岡広樹)
■関連サイト
会社情報
- 会社名
- 株式会社ディー・エヌ・エー(DeNA)
- 設立
- 1999年3月
- 代表者
- 代表取締役会長 南場 智子/代表取締役社長兼CEO 岡村 信悟
- 決算期
- 3月
- 直近業績
- 売上収益1349億1400万円、営業利益42億0200万円、税引前利益135億9500万円、最終利益88億5700万円(2023年3月期)
- 上場区分
- 東証プライム
- 証券コード
- 2432