［CEDEC＋KYUSHU］ポールトゥウィンの森島健斗氏による「ゲームセキュリティ白書2022　〜チート対策の最前線〜」講演レポート

　「CEDEC＋KYUSHU 2022」が，2022年11月12日に福岡県の九州産業大学で開催された。本稿では，ポールトゥウィンの子会社であるNinjastarsの代表取締役社長・森島健斗氏によって行われた「ゲームセキュリティ白書2022　〜チート対策の最前線〜」の内容をレポートする。

Ninjastarsは，サイバーセキュリティ事業を行っている

　Ninjastarsが提供しているサービスは，「セキュリティ診断」と「セキュリティ教育」「セキュリティコンサルティング」「セキュリティ製品」の4種類。講演では「脆弱性診断」について解説が行われた。

　例としてあげられたデータは，同社が直近2年で診断した25タイトルで挙がった，205個の脆弱性についてだ。内訳は，サーバーサイドの脆弱性が106件，クライアントサイドの脆弱性が99件だったそうだ。


　サーバーサイドの脆弱性は

• ゲーム内通貨の強奪
• ガチャ機能にてレースコンディションの発生
• チュートリアルガチャの不正利用
• デバッグ用APIの権限不備
• ガチャアイテムの不正増殖
• ゲームサーバー側ソースコートの閲覧
• 蓄積型XSS（Cross Site Scripting）
• LFT（Local File Inclusion）

　など。ゲーム内通貨の強奪やガチャアイテムの不正増殖は，通貨トレードやガチャ実行の際に，マイナスの金額や回数を数値として送り込むことで可能になっていたそうだ。



　また，クライアントサイドの脆弱性は

• Windows版：ゲームソースコードの復元
• 暗号化されたLuaスクリプトの複合
• 暗号化された3Dモデルデータの複合
• PvP機能にて常に勝利
• Google Cloud Vision：API_KEYの不正利用
• 導入済のAnti-Cheat製品が有効化されていない
• デバッガ検知，root化検知，メモリ改ざん検知の回避

　が紹介された。「PvP機能にて常に勝利」は，対戦ゲームなどで一撃で相手を倒せるようにしてしまう不正など。発覚後にアカウントをはく奪する対応も可能だが，システムとして不正ができないようにするのも重要になる。

　同社では，これらの脆弱性に対して総合的な評価を行っている。ここで重要になるのが，「発生可能性」と「影響度」だ。



　発生可能性は，その脆弱性を発生させるのに，どのくらいの難度なのかを示すもの。簡単なツールなどを使えば誰でも再現できるのであれば“易”，専門的な知識を持った人しか発生させられないのであれば“難”となる

　影響度は，企業やほかのユーザーに与える被害の尺度だ。直接的に被害を与える脆弱性は“緊急”を要するものになるが，先の25タイトルでは実に15タイトルで緊急な脆弱性が検出されたという。また，金銭的被害が出やすいガチャ回りでは，9タイトルに脆弱性があったとのこと。


　ゲーム開発とは，切っても切れない脆弱性への対応。同社の公式ブログでは，さらに詳しい説明を行っているそうなので，関連業務についている人などは，チェックしておくといいだろう。

「CEDEC＋KYUSHU 2022」公式サイト

「Ninjastars」公式サイト