ステラセキュリティは、世界最大級のセキュリティカンファレンスのツール開発部門「Black Hat Arsenal」での選出実績を持つ高度な技術を基盤とした、攻撃者視点の『チート対策支援サービス』の提供を開始した。
本サービスは、リバースエンジニアリングツール「Ghidra」の専門書を執筆した 高度なリバースエンジニアリング技術を基盤とし、特定のセキュリティ製品に依存せず、攻撃者と同じ技術的視点から実効性のある対策を提案する。
■ステラセキュリティの強み
【リバースエンジニアリングへの深い知見と実績】
代表の小竹泰一氏は、NSA(米国家安全保障局)が公開した解析ツール「Ghidra」に関する国内有数の解説書『マスタリングGhidra』(オライリー・ジャパン/共訳) および『リバースエンジニアリングツール Ghidra実践ガイド』(マイナビ出版/共著) を執筆・翻訳しており、プログラムの挙動を深部まで把握する解析技術を持っている。
【国際的に評価された検証ツールの開発力】
世界最大級のセキュリティカンファレンス「Black Hat Arsenal」にて、自社開発したメモリ改ざん検証ツール(apk-medit / ipa-medit)が選出され、登壇した。既存のツールを使うだけでなく、自ら検証ツールを開発できる技術力が、高精度な検証を支えている。
【バイナリと通信、システム全体の整合性を評価】
アプリ内部の難読化だけでなく、通信リクエストの整合性チェックなど、クライアントとサーバーの両面から「攻撃コストを高める」ための現実的な対策を提案する。
■サービス概要
①『チート対策 評価・選定支援プラン』
導入済みのチート対策ツールや独自実装のセキュリティ機構に対し、リバースエンジニアリングや中間者攻撃への耐性を検証し、ベンダーのカタログスペックでは分からない「実際の防御力」を明らかにする。
② 『アプリ堅牢化支援プラン』
設計・開発段階から参画し、弱点の作り込みを防ぐ。通信プロトコルの安全な設計や耐タンパ設計のレビューを行い、リリース後の手戻りリスクを低減する。
■対応プラットフォーム
iOS/Androidアプリ、ブラウザゲーム、およびAPIサーバー。ゲーム以外の耐タンパ性が求められるアプリにも対応可能である。
■サービス提供の背景
近年のアプリケーションに対するチート行為は、アプリ本体の改ざんだけでなく、APIサーバーとの通信を操作して不正なリクエストを送るなど、手口が複合化・高度化している。多くの企業がチート対策ツールを導入しているが、攻撃者は「最小の労力で最大の効果」を狙い、ツールの保護回避やAPIサーバーの不備 (認可の不備やリプレイ攻撃など) を突く。ステラセキュリティは、こうした製品導入だけでは防ぎきれない脆弱性を「攻撃者と同じ技術的視点」から検証し、解決策を提供するため、本サービスを開始したという。
