オンラインゲームに最適化された脆弱性診断
サービス概要
攻撃者と同様の思考プロセス・攻撃手法にもとづき、診断対象のオンラインゲームに潜むリスクを網羅的に検査します。
リバースエンジニアリング力に秀でたホワイトハッカーが攻撃者(チーター)の視点で脅威度の高い部分から順に検査します。
サービスの特徴
プラットフォームを問わず診断可能
スマートフォン向けのソーシャルゲームやPCゲーム、ブラウザゲームなど様々なプラットフォームに対応可能です。
ゲームのソースコードの提供やゲームプロテクターの取り外しは不要
実際の攻撃者(ビジネスチーター)と同様に、ソースコードやゲームプロテクターの解除が必要ない状態でのブラックボックス診断が可能です。
診断項目
クライアントサイドに関する検査
-
-
- メモリチート
- スピードハック
- 改変apkなどのMOD作成
- ローカルファイルの改変
- デバッガを用いたステータス改変
- 壁貫通移動
- 戦闘での即時勝利
- プレイヤーの無敵化
- クエスト制限時間の不正操作
- 暗号化されたアセットの復号
- 衣装の装着制限の回避
- スキルの連続発動
- 獲得経験値の不正増加
- 試合結果の改ざん
-
サーバーサイドに関する検査
-
-
- 認証の不備によるユーザーのなりすまし
- APIの権限不備
- リクエスト改変による課金アイテムの不正増殖
- ガチャ限定キャラクターの不正入手
- ガチャの回数制限の回避
- 未所持アイテムの使用
- クエストの即時クリア
- アカウントテイクオーバー
- 他ユーザーアイテムの強制削除
- ランクマッチの結果改ざん
- 課金アイテムの無限増殖
- 他ユーザーの強制移動
- アイテム購入における不正
- チャットでのなりすまし
-
リバースエンジニアリング対策の強度を検査
-
-
- ファイル改竄検知の強度調査
- root化検知の強度調査
- デバッガ検知の強度検査
- メモリチート検知の強度調査
- Bot対策の強度調査
-
プラットフォームサイドの設定不備に関する検査
-
-
- バージョン管理ツールの設定不備
- リバースプロキシの設定不備
-
その他、ゲームの特性に応じた診断項目にて診断いたします。
サービスフロー
1、事前調査
サービスの特性に応じて重視される点やリスクの高い機能等を事前にヒアリングいたします。
2、診断実施
診断期間中であっても高リスクの脆弱性発見時には速報でお伝えします。
3、結果報告
発見された脆弱性の再現方法、リスク、対策を記載した診断レポートを提出します。
ご希望に応じて、報告会を開催いたします。
4、対策強度診断
総合評価が一定の水準に達することを目標に、再度診断を実施します。
5、定期診断
初回の診断後も、少なくとも年1回の定期診断を推奨しています。
診断レポートについて
検出した脆弱性は診断結果報告書として、診断終了後5営業日ほどで納品いたします。
実際にお渡しする診断レポートのサンプルがございますので、そちらについてはぜひお問い合わせください。
独自の評価基準による総合評価の算出
診断対象のセキュリティレベルが一定の水準に達するまで、継続的に対策のご協力をします。
使用した診断ツールのアウトプット分析結果を注意事項などの項目に記載します。
診断にて指摘した事項ごとに脆弱性の発生可能性と影響度を計算し、最終的に100点満点で算出します。
報告会について
ご希望に応じて、実際に脆弱性診断を担当した診断員同席のもと診断結果報告会を実施いたします。
診断レポートを基に脆弱性を発見するまでの思考プロセスを解説します。
また、成立しなかった攻撃まで把握することで、診断時点でのセキュリティ対策の効果をより明確にすることができます。
ブラックボックス診断
攻撃者と同じ目線から診断を行うため、ソースコードの提供やセキュリティ対策の解除は必要ありません。
対策強度診断
総合評価が一定の水準に達することを目標に、再度診断を実施します。
前回診断時に検出した脆弱性への対策有無の確認だけではなく、対策によってどの程度強度が向上したかまでご報告いたします。
一斉診断
同じ開発会社で開発されたサービスには似通った脆弱性が多く見られます。
複数の自社サービスを一斉に診断することで費用、時間ともに効率的にセキュリティ対策を実施できます。
定期診断
大型アップデート等の機能追加のタイミングで前回の診断では検出し得なかった脆弱性が発生する可能性があります。
より長期にわたる安全なアプリケーション運営を実現するため、少なくとも年1回の定期診断を推奨しています。