1.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
DeNA Technology Conference 2017
DeNAでのチート診断・脆弱性診断の取り組み
株式会社ディー・エヌ・エー
システム本部セキュリティ部
セキュリティ技術グループ
杉山 俊春
1
3.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
DeNA セキュリティ部(技術グループ)と私
3
2012
2013
2015
2013/4
セキュリティ
グループ発足
2014/4
セキュリティ部発足
・セキュリティ技術グループ←こっち
・セキュリティ推進グループ
Join!
セキュリティ部の位置づけ 技術グループの成り立ち
2017/2
現在9名
セキュリティ会社出身:2名
社内教育でメンバー育成
2014
2016
2017
:異動
4.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
DeNA セキュリティ部(技術グループ)のお仕事
リリースするアプリ・サービスのチート・脆弱性診断全般
本番ネットワークのセキュリティ(踏み台サーバ)
社内ネットワークのセキュリティ
セキュリティ相談・設計
脆弱性情報調査・社内共有
各種セキュリティの仕組み、ツールの作成
など色々
4
5.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティって?
5
皆さん セキュリティってどうしてますか?
6.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティって?
「セキュリティ」と言っても幅広いので、例えば、
スマートフォンアプリのセキュリティ
ゲームアプリのセキュリティ
といわれて、何をしなきゃいけないかがイメージでき
ますか?
6
7.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティって?
とあるゲームで
「まだリリースしていないアイテムを所持している
ユーザがいました」
この時、考えられる原因と対策は?
7
8.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
セキュリティって?
8
セキュリティって難しい?
9.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
情報セキュリティ人材の不足
9
出典:経済産業省 IT人材の最新動向と将来推計に関する調査結果について
http://www.meti.go.jp/policy/it_policy/jinzai/27FY_report.html
10.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
情報セキュリティ人材の不足
10
現在
情報セキュリティ人材 28.1万人
+13.2万人不足
すごく足りていない!?
出典:経済産業省 IT人材の最新動向と将来推計に関する調査結果について
http://www.meti.go.jp/policy/it_policy/jinzai/27FY_report.html
11.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
情報セキュリティ人材の不足
11
でも、ちょっと待って!
12.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
情報セキュリティ人材の不足
12
現在
情報セキュリティ人材 28.1万人
IT人材 91.9万人
現時点でIT人材の約3割が
情報セキュリティ人材(というデータでの話)
出典:経済産業省 IT人材の最新動向と将来推計に関する調査結果について
http://www.meti.go.jp/policy/it_policy/jinzai/27FY_report.html
13.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
情報セキュリティ人材の不足
13
いい人材が見つかるまで待つ
セキュリティ人材を育てる
実はセキュリティ人材はたくさんいる
14.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
情報セキュリティ人材の不足
14
セキュリティって難しい?
↓
範囲を明確にして、ひとつずつちゃんと
見ていけばそんなにややこしい話ではない!
はず…
24.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
提供するサービス、アプリ、ゲームでのセキュリティ
24
悪い人が最終的に不正として実現したいことは……
↓
サーバ上のデータを不正なものにしたい
プレイデータの保存時
に不正なデータになっ
ていることが重要
25.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
提供するサービス、アプリ、ゲームでのセキュリティ
25
ブラウザアプリ(JavaScript)だとチート簡単?
↓
スマホアプリも原理的には似たようなもの!
26.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
スマホ向けゲームのシステム構成の色々
26
27.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
ゲームのシステム構成の色々
ローカルのみ
27
アプリダウンロード
課金処理
IAP、IAB
※IAP, IAB:In App Purchase (App Store) , In App Billing (Google Play)
App Store
Google Play
28.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
ゲームのシステム構成の色々
クライアントアプリ+サーバ(単純なデータの保存のみ)
28
アプリダウンロード
課金処理 App Store
Google Play
データ読み込み
データ保存
29.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
ゲームのシステム構成の色々
クライアントアプリ+サーバ側ロジック
29
アプリダウンロード
課金処理 App Store
Google Play
ゲームサーバ
データ読み込み、処理結果
処理実行
課金検証
各種検証、処理実行
検証結果
30.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
ゲームのシステム構成の色々
クライアントアプリ+サーバ側ロジック+SNS or プラットフォーム連
携
30
アプリダウンロード
課金処理 App Store
Google Play
ゲームサーバ
データ読み込み
処理結果
処理実行
課金検証
各種検証、
処理実行
検証結果
データ読み込み
処理結果
処理実行
ゲームプラットフォーム
データ読み込み
処理結果
処理実行
31.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
スマホ向けゲームアプリに対する攻撃
31
32.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
攻撃されうるポイント
32
アプリダウンロード
課金処理 App Store
Google Play
ゲームサーバ
データ読み込み、処理結果
処理実行
課金検証
検証結果
メモリ改ざん
不正な通信
(リクエスト)
データ
ファイル改ざん
アプリ改ざん
不正な通信
(レスポンス)
大半の最終的な
ターゲットはここ!
33.
Copyright (C) DeNA Co.,Ltd. All Rights Reserved.
スマホ向けゲームにおけるチート、不正行為
33