スマホ向けページを表示

クラッキング耐性評価サービス Critical Hit

「Critical Hit」は、お客様のアプリが不正実行され被害を受けるおそれがないか診断するサービスです。サイファー・テックの専門技術者が実際の攻撃者と同じように不正実行を試みた結果に基づいて実証的な検証・分析を行う点に特徴があります。発見された問題に対してどのような対策を施せばよいかのご相談も承っております。
アプリの不正実行による被害

2014年には年間 7千億円を超える規模にまで成長したスマートフォンゲームの売り上げの多くは、いわゆる「フリーミアム」のモデルによって成立しています。基本プレイは無料だが課金アイテムや課金サービスへの支払いでゲームをもっと楽しめること、これこそが現代のゲーム市場の牽引力といえるでしょう。ここでもし、課金アイテムや課金サービスが料金の支払いなしに得られてしまうとしたら、いったい何が起きてしまうでしょうか。実は現在、本来できてはならないようなプレイをされてしまう「チート」の被害がスマートフォンゲームでは大きな問題となっています。チートはどのようにして行われ、どのようにすれば防げるのでしょうか。サーバーの守りは完璧にしている、料金支払いはアプリストア提供の仕組みを正しく使って安全に実装している、もしそこで考えを止めてしまっているのであれば、あなたのビジネスはアプリを不正実行されることで損害を受けてしまうかもしれません。

アプリの作りにもよりますが、課金アイテムや課金サービスを不正に使用するのにサーバーに侵入したりアプリストアの決済システムの脆弱性を探す必要はありません。手元のスマートフォンで実行されているアプリの中では「プレイヤーがこのアイテムを購入していれば、このアイテムの効果を発動させる」といったような処理が実行されています。もしこれが「無条件に、このアイテムの効果を発動させる」という処理に書き換えられてしまったらどうなるでしょうか。アプリを不正・異常な状態で実行して本来は行われるはずのない処理を行わせてしまうこのような行為は「クラッキング」と呼ばれており、チートの中でもこのクラッキングによるものの被害がいま急速に深刻化してきています。

 

クラッキングによって被害を受けるアプリは、もちろんゲームだけではありません。iOS や Android の爆発的な普及を背景に「Web ベースのサービスだがスマートフォンの専用アプリも用意しよう」「モバイル端末を業務に活用するために自社内アプリを開発しよう」といった展開が当たり前になった昨今ですが、そこにはクラッキングによる被害を受けるリスクも潜んでいます。アプリ内課金で追加機能を購入できるようにしたとき、その機能が使えるかどうかの判定を書き換えられることはないでしょうか。モバイル端末から機密情報を持ち出されないよう暗号機能を搭載したとき、暗号鍵が内部犯に露見してしまうことはないでしょうか。サーバーや社内 LAN への侵入を防がなければならないのと同じように、アプリへの侵入も防がなければなりません。

クラッキング耐性診断サービス

クラッキングに対抗するためにはリバースエンジニアリングの阻止といった特殊な技術が必要になるため、専用の対策ツールによる保護が不可欠となります。しかしながら、対策ツールによる保護を施せばそれで終わりというほど簡単なものではありません。クラッキングには様々な手法があり、対策ツールがカバーする範囲もまた様々であるためです。たとえば、アプリのプログラムファイルが改変されたことを検知して実行をブロックする対策ツールは数多くありますが、アプリがサーバーに対して行うネットワーク通信に干渉することで行われるクラッキングはこれでは防げません。これとは逆に、高価な対策ツールが持つ高度な保護機能に魅力を感じて導入したが自分たちのアプリはその部分をクラッキングされても被害が出ないタイプのものだったといったこともありえます。クラッキングを受けたからといって全てのアプリで問題が生じるとは限りませんし、生じる問題の全てが深刻な損害をもたらすとも限らないのです。

こういった状況にあって利用者を伸ばしているのがクラッキング耐性の診断サービスです。専門の業者にアプリを診断してもらい、クラッキング被害が生じる可能性があるか、生じるとしたらどういったことが行われるか、どのようにすれば対策できるのか、といったことを分析したレポートを受け取ります。クラッキング耐性診断の他に「セキュリティ診断」や「脆弱性診断」といった名称で呼ばれることもあり、セキュリティ関連の技術を持つ企業が国内でもいくつかのサービスを提供しています。どのプラットフォームをカバーしているか、どういったタイプのクラッキングを対象としているか、診断にあたってアプリのソースコードも開示する必要があるか、費用と期間はどのぐらいになるのかといった点でサービスごとの特色があります。

Critical Hit

ゲームや業務情報活用アプリと同じく、コンテンツの閲覧を正規のユーザーのみに許諾する DRM もまたクラッキングに対抗しなければならないシステムの典型例といえます。完全な独自開発となる DRM ソリューション「CypherGuard」シリーズを手がけるサイファー・テックがそのノウハウを結集した「Critical Hit」は、以下のような特徴を有するクラッキング耐性評価サービスです。

特徴
  • 専門技術者が、クラッキングやチートを試みる攻撃者と同じ立場から実際にクラッキング・チートを行った結果をレポートします。
  • 原理的な問題点の指摘にとどまらず、実際に行われるであろう現実的な被害を伴うクラッキングを実証してレポートします。
  • アプリが改変されるタイプのクラッキングに加えて、サーバーとの通信に干渉するタイプやツールによってメモリを改変するタイプといったクラッキング・チートにも対応しています。
  • アプリのソースコードを開示していただく必要はなく、当社の技術者はアプリのユーザーと同じ立場で診断を行います。
  • 状況や予算に合わせて、「1週間コース」「2週間コース」「コンサルティングコース」からご希望のものをお選びいただけます。
  • 問題点の指摘に加えて、具体的な対処方法もご提案します (コンサルティングコースのみ)。
  • Android と iOS の両プラットフォームに対応し、Unity で書かれたゲームアプリにも対応します。
コース
種類コース 診断期間 レポート オプション
発見された問題 診断項目ごとの分析 問題への対策案
1週間コース 1週間 *1 - - -
2週間コース 2週間 *1 - -
コンサルティングコース 応相談 ソースコードチェック:ソースコードをチェックし問題となる箇所を指摘
再診断:修正した問題箇所に対する再検証

*1:事前準備期間として診断期間とは別に1週間程度いただきます。

費用例

1週間コースで iOS / Android の両プラットフォームの診断で 120万円(参考価格)
※この場合、診断期間は実質 2週間です。

診断項目
  1. アプリの改ざん対策の有効性
  2. ネットワーク通信解析・改ざんの対策の有効性
  3. デバッガ対策の有効性
  4. メモリの改ざん対策の有効性
  5. アプリデータ保護の有効性
    ※アプリ自身にリソースとして含まれるデータが存在し診断対象とする場合は別途費用をいただきます。
  6. 逆アセンブル対策の有効性
評価対象プラットフォーム

iOS / Android(その他 OS は応相談)
※Unity などの開発プラットフォームにも対応しています。

ご準備いただくもの
  • プログラムファイル
    診断途中での差し替えは原則不可となります。
  • アプリの全機能を利用できるテスト環境
    課金を無制限に行える環境
    不正行為をしても問題にならない環境
  • ユーザー視点でアプリを深く理解できる資料
    全機能・全局面を紹介する資料(診断対象としない機能・局面については省略可)
    料金支払いといった収益・運営の観点からの重要アクションを期待するポイントの説明
採用実績
企業 コース 内容
食品メーカー 2週間コース 企業が提供するスマホ SNS アプリで個人情報流出などアプリのクッキングによる不正行為が可能か実証的なセキュリティ評価を実施。
ゲーム事業者 A 社 コンサルティングコース 外注先の各ゲームアプリ開発ベンダーへ提示するセキュリティガイドラインの策定を支援。開発前・開発中・開発後の各段階で必要なチート対策を定義。
ゲーム事業者 B 社 コンサルティングコース 自社開発のスマホゲームタイトルでチートが多発している。自社による独自の対策に加えて更なる強化のために弊社サービスを導入。セキュリティガイドラインを策定し、実証的なセキュリティ評価を実施。
ゲーム事業者 C 社 1週間コース 会員向けゲームアプリに対して、第三者機関によるクラッキング対策の有効性を評価するサービスとして Critical Hit を採用。
チート対策無料相談会

ゲーム事業者向けに月に 1度の定期セミナーを開催しています。こちらのセミナーでは、チートの実演を交えながらその危険性と対策に関してご説明させていただき、その後 Critical Hit の技術担当者が皆さまのチート対策に関する疑問にお答えします。

今後開催予定のセミナーはこちら