DeNA_Techcon2017_DeNAでのチート・脆弱性診断への取り組み

2. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 自己紹介  所属：株式会社ディー・エヌ・エー • セキュリティ部セキュリティ技術グループ  名前：杉山俊春  前職：セキュリティ関連の会社 ⁃ 脆弱性診断（Web、スマートフォンアプリ） ⁃ Web脆弱性診断ツール（VEX）開発・販売 ⁃ SaaS型Web診断サービス開発 ⁃ 技術記事執筆など  入社：2012年1月  現在の業務： ⁃ 脆弱性診断、社内システムセキュリティ、セキュリティログ管理、セキュリティ設計など  好きなもの：猫、デザイン・イラスト系のもの 2 星野君のWebアプリほのぼの改造計画 (@IT)

3. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部(技術グループ)と私 3 2012 2013 2015 2013/4 セキュリティグループ発足 2014/4 セキュリティ部発足・セキュリティ技術グループ←こっち・セキュリティ推進グループ Join! セキュリティ部の位置づけ技術グループの成り立ち 2017/2 現在9名セキュリティ会社出身：2名社内教育でメンバー育成 2014 2016 2017 :異動

4. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. DeNA セキュリティ部(技術グループ)のお仕事  リリースするアプリ・サービスのチート・脆弱性診断全般  本番ネットワークのセキュリティ(踏み台サーバ)  社内ネットワークのセキュリティ  セキュリティ相談・設計  脆弱性情報調査・社内共有  各種セキュリティの仕組み、ツールの作成など色々 4

10. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 情報セキュリティ人材の不足 10 現在情報セキュリティ人材 28.1万人 +13.2万人不足すごく足りていない！？出典：経済産業省 IT人材の最新動向と将来推計に関する調査結果について http://www.meti.go.jp/policy/it_policy/jinzai/27FY_report.html

12. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 情報セキュリティ人材の不足 12 現在情報セキュリティ人材 28.1万人 IT人材 91.9万人現時点でIT人材の約3割が情報セキュリティ人材(というデータでの話) 出典：経済産業省 IT人材の最新動向と将来推計に関する調査結果について http://www.meti.go.jp/policy/it_policy/jinzai/27FY_report.html

15. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 情報セキュリティ人材の不足 – 人材育成への取り組み  実際のゲームのセキュリティに近い形のサンプルアプリ • Cocos-2dx (C++)で作成 • （ソースコードのデコンパイルは困難） • Android OS上で動作 • サーバへの通信は暗号化（？）されているこのアプリを利用して、セキュリティ・キャンプ等のイベントでハンズオンの講義なども実施 http://dena.com/jp/csr/blog/cat277/2016/09/02/003185© DeNA  チート勉強用サンプルアプリ１ 15

20. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 簡単なゲームでの具体的なチート例  できてしまったら困りそうなことを適当に列挙してみる ⁃ 敵のHPを1にする ⁃ 敵の攻撃力、防御力を-99999999にする ⁃ ユーザのHPを99999999にする ⁃ ユーザの攻撃力、防御力を99999999にする ⁃ 戦闘後にもらえる経験値を99999999にする ⁃ ユーザのレベルを99にする ⁃ 使えないコマンドを使う ⁃ ひたすら連続攻撃をする ⁃ 選択できない敵と戦う ⁃ 回復アイテムを無限に使う ⁃ スタミナを消費しないで戦闘を行う 20

22. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 提供するサービス、アプリ、ゲームでのセキュリティ  できてしまったら困りそうなこと ⁃ 敵のHPを1にする ⁃ 敵の攻撃力、防御力を-99999999にする ⁃ ユーザのHPを99999999にする ⁃ ユーザの攻撃力、防御力を99999999にする ⁃ 戦闘後にもらえる経験値を99999999にする ⁃ ユーザのレベルを99にする ⁃ 使えないコマンドを使う ⁃ ひたすら連続攻撃をする ⁃ 選択できない敵と戦う ⁃ 回復アイテムを無限に使う ⁃ スタミナを消費しないで戦闘を行う 22 できるできるがいまいち ※0.000001とかが正解できるできるできる? できるできるできるできるが無効？ ※expを変えるべきできないできない

23. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. 提供するサービス、アプリ、ゲームでのセキュリティ  攻撃シナリオを雑に割り当ててみる ⁃ 敵のHPを1にする • ソースコードの変更、利用中の値の直接変更 ⁃ 敵の攻撃力、防御力を-99999999にする • ソースコードの変更、利用中の値の直接変更 ⁃ ユーザのHPを99999999にする • ソースコードの変更、利用中の値の直接変更 ⁃ ユーザの攻撃力、防御力を99999999にする • ソースコードの変更、利用中の値の直接変更 ⁃ 戦闘後にもらえる経験値を99999999にする • サーバに送る値の変更 ⁃ ユーザのレベルを99にする • ソースコードの変更、利用中の値の直接変更、サーバに送る値の変更 ⁃ 使えないコマンドを使う • ソースコードの変更、特定命令の強制実行 ⁃ ひたすら連続攻撃をする • ソースコードの変更、特定命令の強制実行 ⁃ 選択できない敵と戦う • ソースコードの変更、特定命令の強制実行、サーバに送る値の変更、サーバから受け取る値の変更 ⁃ 回復アイテムを無限に使う • ソースコードの変更、サーバに送る値の変更、サーバから受け取る値の変更 ⁃ スタミナを消費しないで戦闘を行う • ソースコードの変更、サーバに送る値の変更、サーバから受け取る値の変更 23 以下の4つくらいのパターンで分類・ソースコード、レスポンスの変更・利用中の値の直接変更・特定命令の強制実行・サーバに送る値の変更 ※厳密にはここに書いてある組み合わせでもできると思います

30. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. ゲームのシステム構成の色々  クライアントアプリ＋サーバ側ロジック＋SNS or プラットフォーム連携 30 アプリダウンロード課金処理 App Store Google Play ゲームサーバデータ読み込み処理結果処理実行課金検証各種検証、処理実行検証結果データ読み込み処理結果処理実行ゲームプラットフォームデータ読み込み処理結果処理実行

36. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. チート勉強用サンプルアプリ - デモ画面  送られてるリクエストの例 POST /sfx/get_user_info.php HTTP/1.1 Accept-Encoding: identity User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.1.2; sdk Build/MASTER) Host: appdemo.example.com Connection: Keep-Alive Content-Type: application/x-www-form-urlencoded Content-Length: 80 WgMBAQ1RU1FLX1BHRwpEUlJIGwY2Gg1RQk0RDlIaERIRFEMKXUpcQB1aRFsHTxkUGB NFUV5EXUtJDFAW Base64っぽいけどデコードしても謎文字列 36

41. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. チート勉強用サンプルアプリ - メモリ改ざん  端末上のメモリを改ざんする例 1. アプリを止める 2. 特定の値を持つアドレスをメモリ内で検索 3. アプリを再開し、目的の値をアプリ上で変更 4. アプリを止める 5. 手順2で見つかったアドレスのうち変更後の値になったアドレスを検索 6. 見つかったアドレス全てを目的の値に置換 7. アプリを再開 41 A68332F3 002b 0000 0050 f91f a600 0000 000a 0000 A6833303 0000 0000 0000 3039 0000 0000 0000 0000 A6833313 0000 0000 0073 0065 0000 0000 0000 0000 A6833323 0000 0000 0000 0000 0000 0000 0000 0000 : A68332F3 002b 0000 0050 f91f a600 0000 000a 0000 A6833303 0000 0000 0000 3011 0000 0000 0000 0000 A6833313 0000 0000 0073 0065 0000 0000 0000 0000 A6833323 0000 0000 0000 0000 0000 0000 0000 0000 : 範囲指定、変化量などで特定する方法もあり変化を観測可能

42. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. チート勉強用サンプルアプリ - 診断に使っているツール  Proxyツール ⁃ PacketProxy (自社ツール) • OWASP ZAP や BurpSuite といったツールもよく利用される  バイナリ解析ツール ⁃ IDA Pro  メモリ改ざんツール ⁃ MemoryPatching (自社ツール) • （一般的にGameGuardianなどの実際のチートに利用されるツールなども利用されることがある）  上記のような専用のツールが必要となるが、使い方を習得すれば一定程度のチート診断が可能 42 例えば、「最低限カジュアルなチートは防ぐ」などのどのレベルのチートを想定するかなどを決めておくことが重要

43. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. ゲームにおけるチート、不正行為 - チートは何が困るのか？ -  チートをされてしまうと起こること ⁃ ゲームバランスが崩壊 → ゲームの寿命を著しく縮める ⁃ ユーザの不公平感を生む ⁃ 非チートユーザへの直接的被害 • PvP、GvGなどのプレイヤー間での戦闘など ⁃ 課金による発生するはずの利益の損失 →特にオンラインゲームだと影響範囲や非チートユーザの関わり方が複雑になるため致命的になりやすい 43

45. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. スマホ向けゲーム開発におけるチート対策例 45 アプリダウンロード課金処理 App Store Google Play ゲームサーバデータ読み込み、処理結果処理実行課金検証検証結果メモリ改ざん不正な通信（リクエスト）データファイル改ざんアプリ改ざん不正な通信（レスポンス）  基本的には攻撃されうるポイントを対策していけばよい

46. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. スマホ向けゲーム開発におけるチート対策例  チート対策の難しい部分 ⁃ 特にクライアント上の対策については、仕組み上どう頑張っても完璧な対策が無理な場合がある。いたちごっこ状態。 • 一定は運用でカバーする、という選択肢もある ⁃ 巧妙なチートユーザは発見が難しい • チートなのか、単純に運がいい・上手いプレイなのかの区別がつかない • 複製アイテムの所有者が善意の第三者の場合があるなど 46

47. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. スマホ向けゲーム開発におけるチート対策例  攻撃されうるポイントへの対策 ⁃ 不正な通信（リクエスト・レスポンス） • サーバサイドでの値チェック ⁃ 取りうる値の範囲、条件 ⁃ パラメータの形式チェックなど • 通信の保護 ⁃ 証明書Pinning • 単純な通信のhttps化などだけではチート対策にはならない ⁃ 通信データの独自暗号化 ⁃ 送受信データの改ざん検知など →仮に突破されても不正の兆候を捕らえられるようにしておくと Good 47 Proxy ツール Pinning 値チェック

48. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. スマホ向けゲーム開発におけるチート対策例  攻撃されうるポイントへの対策 ⁃ メモリ改ざん、データ改ざん • 暗号化して保存する！ ⁃ 暗号ロジック、鍵がすぐに取り出せるとほとんど意味がないので、「解析・デコンパイル対策」も頑張る 48 A68332F3 002b 0000 0050 f91f a600 0000 000a 0000 A6833303 1c80 d55b 1e6c 3658 0000 0000 0000 0000 A6833313 0000 0000 0073 0065 0000 0000 0000 0000 A6833323 0000 0000 0000 0000 0000 0000 0000 0000 : A68332F3 002b 0000 0050 f91f a600 0000 000a 0000 A6833303 af40 0ff5 67ff a4c7 0000 0000 0000 0000 A6833313 0000 0000 0073 0065 0000 0000 0000 0000 A6833323 0000 0000 0000 0000 0000 0000 0000 0000 : メモリ見た目の変化とメモリ上の変化が異なる見た目上の変化：12345 -> 12032 メモリ上の変化：1e6c 3658 -> 67ff a4c7 暗号化されて読めないデータ

49. Copyright (C) DeNA Co.,Ltd. All Rights Reserved. スマホ向けゲーム開発におけるチート対策例  攻撃されうるポイントへの対策 ⁃ 解析・デコンパイル対策 • デコンパイルが難しい言語を使う ⁃ 例えば、Androidの場合、重要な処理はJavaで書かず、JNI等を使って別の言語で記述した処理を呼び出すなど。 ⁃ できない場合は難読化を頑張る • 暗号化などは一般的なものをそのまま使わない ⁃ 例えば、「AESだ！」とわかったら、ロジックを解析する必要はなく、鍵だけ探せば復号できてしまう • Packerのような解析対策の仕組みを導入する • バイナリ内のシンボル情報を削除するなどの対策をいれる 49 ※基本的にどのくらい解析が難しくなるか、という問題

DeNA_Techcon2017_DeNAでのチート・脆弱性診断への取り組み

Toshiharu Sugiyama

DeNA_Techcon2017_DeNAでのチート・脆弱性診断への取り組み