【CEDEC2017】スマホゲームのセキュリティの課題と対策は? アプリへの攻撃を可視化する「DxShield」でわかった攻撃の傾向や事例を紹介

オルトプラス<3672>は、9月1日に「CEDEC2017」において「損害総額年間10億円!?あなたのアプリも狙われている〜スマホアプリのセキュリティ裏話〜」のセッションを行い、開発部執行役員CTOの嶋田健作氏、開発部エンジニアの嶋田大輔氏が登壇した。
 
本セッションでは、スマホアプリを運用していくうえで、リセマラ、チート、ハッキングツール、FakeGPSなどのセキュリティの課題を、攻撃を可視化できる「DxShield」を使うことで明らかとなった、ハッキングの攻撃の傾向や事例を紹介した。また、実際に開発をする際にどのようなポイントに気をつけるベきか、Unityを使った事例も聞くことができた。

【関連記事】
【インタビュー】「ゲーム作りに専念できる環境を」…韓国NSHC発・ゲーム開発者向けセキュリティサービス「DxShield」 その強みをオルトプラスに聞く
 
 
▲開発部執行役員CTOの嶋田健作氏


 
▲開発部エンジニアの嶋田大輔氏

 
セッションはセキュリティの現状についての説明から始まった。ソニーデジタルネットワークアプリケーションズが行ったAndroid脆弱性調査レポート(2017年4月版)によると、ひとつでも脆弱性リスクが存在するアプリは、全体の中で95%を占めている。これは現在、アプリをハッキングするための便利ツール・アプリが「カジュアル」に出回っていることが大きな理由となる。また最近はユーザーがインストールしている他のアプリからの攻撃が主な種類となっているため、他アプリからの攻撃も意識してアプリ開発を行わなければならない状況だという。
 
実際にどのようなハッキングツール・アプリがあるのだろうか? 例えば、アプリごとのカスタムパッチをダウンロード、apkを改造できるツールや、購入処理迂回パッチを簡単に適用できるapkへのパッチツール、偽の位置情報をアプリに送ることで不正にアイテムをゲットするGPS情報の偽装、PC上でアプリをエミュレータで実行しマクロを使って何度もスタート・招待ボーナスなどを悪用する仮想マシンによるアプリ実行、さらにキャラクターの強化などの不正処理が盛り込まれた改造apkの配布サイトなどがある。これらは簡単に入手でき、人の手を介さない自動でできるものも増えており、まさに「カジュアルハッキング」ともいうべきものが脅威となっていると語った。
 
オルトプラスではアプリをすべての脅威から守る、スマートフォン向けアプリの総合セキュリティサービス「DxShield」というツールを提供している。これは難読化や暗号化などのアプリの保護、メモリ改ざん、不正ツール防止などのハッキング対策を行うことで脅威から防御することができる。またDxShieldの大きな特徴のひとつがクラウドでの統計情報解析により、攻撃手法や地域のグラフィカル分析など「アプリの攻撃すべてが可視化できる」ことだ。セッションではこのDxShieldを使い攻撃が可視化されたことで明らかとなったカジュアルハッキングの事例を3件紹介した。

 
① 某有名タイトルゲームA
ゲームが人気になると、仮想マシンを使ってのリセマラや決済迂回の不正が多くなった事例となる。DxShieldの適用初日は3214件の攻撃を検知したが、5日後には約98%減の40件になった。1週間のデータを見ると、攻撃種類は仮想マシンによる不正行為が約半分の最多となり、また日本向けのゲームアプリだが、国別の攻撃をみると日本以外の様々な国からの攻撃も多く、海外からの攻撃が70%以上となっていた。
 
 
 
② 某有名タイトルゲームB
ゲームが人気になったことで、不正なbotツールなどが蔓延したことで、サーバーサイドのDAUが不正増加した事例となる。DxShieldを導入したことで、DxShieldのDAUとサーバーサイドとのDAUに差が生じていることがわかり、不正ツールを遮断することでインフラコストの削減にもつながった。
 
 
 
 
③ O2Oアプリ
売上が大きいアプリになったことで、不正ツールや改ざんapkが登場し、月額数万円程度で改ざんapkを提供する業者も登場した事例となる。不正に注文を受注できるようハッキングされたapkが流通し、市場が大きく混乱したが、DxShield適用後1週間で8万件以上の攻撃を遮断し、年間で10億円規模の被害防止に成功したという。
 
 
 
上記の他にも、難読化などのapkを守る仕組みを入れていない状態でβテストを実施したことで、正式リリース時に改ざんアプリやチートツールが出回る、改ざんされたアプリが海外に広まることにより、海外進出の妨げになった事例もあるという。
 
不正アプリが出回るとどのような影響があるのだろうか?大きく分けて「ユーザーへの影響」と「運営上の問題」が考えられるという。「ユーザーへの影響」は、プレイヤー対戦系のモチベーションの低下、ランキングのモチベーション低下などがあう。「運営上の問題」は、正確なDAUなどの数値を把握できないことでゲームの改善が難しくなること、また後からセキュリティの改善をすることは非常に難しいことを挙げた。
 
 
 
最後に、セクションを振り返って、アプリのセキュリティ向上のためできればDxShieldを適用して欲しいとのことだったが、Unityでアプリを開発する際に気を付けるべきポイントも紹介した。
 


 
(撮影・記事執筆 森山晃義)
株式会社オルトプラス
http://www.altplus.co.jp/

会社情報

会社名
株式会社オルトプラス
設立
2010年5月
代表者
代表取締役CEO 石井 武
決算期
9月
直近業績
売上高43億8700万円、営業損益5億5600万円の赤字、経常損益5億2200万円の赤字、最終損益4億2000万円の赤字(2023年9月期)
上場区分
東証スタンダード
証券コード
3672
企業データを見る