ソーシャルゲームやゲーム全般における不正行為を検証するソリューション
スマホゲームやオンラインゲームの市場が拡大しているのに比例し、開発費用や広告費用が増加する中、不正行為(チート)による新規ユーザへの悪影響や課金要素への悪影響といった被害は後を絶ちません。そしてチートにより、サービスの運用計画が崩れてしまうこともありえます。
事業に重大なインパクトを与える要素になっています。ときにチートは単純な不正操作が行えてしまえるケースや、ゲームを解析し続けるヘビーユーザが攻撃者だったケースもあります。Web脆弱性診断やスマホアプリ脆弱性診断だけでは検出することのできない、チート特有のセキュリティ対策が必要になっています。
ソーシャルゲームにおけるチートは、開発者が想定する以上の速度でストーリーを進めるもの、ゲームのスコアや他人のアカウントを不正操作するもの、課金機能の検証を不正に回避するといった、ユーザ目線で行われるケースが大多数です。
ポルトのゲームチート検証では、Web脆弱性診断の観点やスマホアプリ脆弱性診断の観点だけでなく、ゲームにおいて重要なパラメータを処理するサーバへの通信で行われる不正やメモリ操作の結果、アプリ内でどのような処理が行われるかといった、一方的な攻撃ではなく、サーバとアプリケーションの相互に攻撃を行い、チートが可能かを検証します。ゲーム特有の診断観点を組み込んだうえで診断しており、明確に伝わる詳細な報告書を作成します。
脆弱性診断プラン
- ●ゲームチート検証(ゲームセキュリティ診断)
- 重要パラメータを扱う処理の特定や暗号化アルゴリズムの解析、メモリの改ざん、パッチ適用済みの海賊版アプリの操作などを行うことでゲーム及びサーバへの影響を調査します。リバースエンジニアリング、http通信の改ざんのようなバイナリの解析とWeb診断どちらかだけでは検出不可能な不正行為が実行可能か検証します。
ソーシャルゲームの開発や運営を事業ドメインに有している企業様にオススメ
- ※ご予算に合わせた実施も可能ですので、お気軽にお申しつけください。当社では開発者の方が想定するチート行為が実証できるかどうかも観点に追加することが可能です。
- ※実施時期が確定しているものやセキュリティ診断の実施期日が短いものについてもお気軽にご相談ください。迅速に対応します。
報告書について
報告書は、エンジニアだけではなく、経営層や非エンジニアである企画職、サポート職の方にもわかりやすいよう、サマリーレポートをご用意いたします。サマリーレポートには、脆弱性診断の概要や基準、全体的な結果の記載をしており、現在のシステムがどのようなセキュリティリスクを抱えているか可視化できます。
同時にエンジニアレポートもご用意いたします。
セキュリティ診断で検出した脆弱性の詳細だけでなく、脆弱性が悪用された場合のリスクやセキュリティ診断を実施したシステムごとの再現確認方法、修正方法や推奨する対策を記載しております。
診断観点
ソーシャルゲームでは、独自でクエストシステムやイベントアイテムの発生、課金タイミングといった様々なゲーム設計が行われています。
そのため、どのような機能があるかヒアリングさせて頂き、実施する観点について決定しております。
- ●課金処理における不正取得や多重実行
- ●アプリ内データの改ざんによる不正なゲーム操作
- ●アイテムテーブルの不正操作およびアイテムの不正な取得
- ●キャラクターパラメータの操作による不正なゲーム進行
- ●サーバからの応答結果を改ざんすることで不正なパラメータ操作
- ●ユーザの認証情報の不正取得
- ●暗号されたデータの解析・復号化処理
その他ゲームの設計やシステム、ご要望の内容に応じて調整しています。