オンラインゲームの攻防戦

やぎはしゅ @yagihashoo

DQ10の青山さん

やぎはしゅ @yagihashoo

オンラインゲームのセキュリティの話

Yosuke HASEGAWA @hasegawayosuke

「不正アクセスとRMTは分けて考えるべき。前者は法律。後者は規約。とはいえ後者は前者のうえで成り立っている場合がほとんど」 #SECCON

Yosuke HASEGAWA @hasegawayosuke

ドラクエ、RMTには厳しい姿勢で対処。アカウント凍結など。数が多いけど間に合ってる？→RMT疑いに対して通報する機能を設けて通報数の多いキャラクタを監視、閾値を超えると牢獄へ自動で #SECCON

やぎはしゅ @yagihashoo

すごい戦いだな

Yosuke HASEGAWA @hasegawayosuke

一般ユーザーは気付いていないと思うが、RMT業者は気付いており、常に戦っている感じ。 #SECCON

Yosuke HASEGAWA @hasegawayosuke

松田「いろいろゲームの診断をしているが信じがたい実装のものもある。オンラインという概念がない実装。」 #SECCON

Yosuke HASEGAWA @hasegawayosuke

松田「ゲーム開始、即チート。ひどいのはユーザ認証もない。相手から根こそぎ頂ける、など。規模が多いとチーム内にノウハウ蓄積されてたりすると思うけどどう？」「ドラクエではしっかりしてる」 #SECCON

sato_c @sato_c

「信じがたい実装のものが結構あるんですよ

sato_c @sato_c

「サービス開始と共にサービス即死、ひどいのになるとユーザー認証なし

sato_c @sato_c

「みんなknowhowないのはおかしいと思うんです。チートにかんする対策してないとか

Yosuke HASEGAWA @hasegawayosuke

ひどい実装。クライアントで実装している抽選。オンラインはただのストレージ。抽選するまえに結果に対する対価が見えている。けっこうある。→ドラクエ内ではチームでそういった点を話し合っている。 #SECCON

やぎはしゅ @yagihashoo

ドラクエわからん(´・ω・`)

MK @mk_umbrella

ドラクエ10におけるチート診断の話。

Yosuke HASEGAWA @hasegawayosuke

ドラクエでは、例えば都合が悪いと線を抜く、などでチートできるとまずい。なども織り込み済み。 #SECCON

Yosuke HASEGAWA @hasegawayosuke

ドラクエ、Windows版を出すという決定前からクライアント側は書き換え可能で信用できないという前提で設計。　#SECCON

Yosuke HASEGAWA @hasegawayosuke

ソーシャルゲーム、検査をしてみると何かに追われているかのような実装になっていることが多い #SECCON

Yosuke HASEGAWA @hasegawayosuke

クライアント側は演出のための実装、結果はサーバ側。そういう実装でやっているがだいたい3倍くらいの実装量になる。　#SECCON

sato_c @sato_c

クライアント側はチートされる前提で考えてるから、信用してない。

水無月ばけら @bakera

過去には、回線切断ではぐれメタルが増殖するという問題もあったようですが……。 #SECCON

Yosuke HASEGAWA @hasegawayosuke

開発者のセキュリティ面のノウハウ、どうやって共有していくのか。一度痛い目を見ないとダメなのか。メーカー間や外注を超えての情報きゅゆうはない。 #SECCON

MK @mk_umbrella

ネットエージェントさんがセキュリティダメだしという流れ。

やぎはしゅ @yagihashoo

んー、難しいよなぁ

Yosuke HASEGAWA @hasegawayosuke

何かに追われている実装は「ここが危ない」と指摘しても「キャンペーンがある」などの理由で手が出せないことがある。 #SECCON

やぎはしゅ @yagihashoo

セキュリティ考えるより考えない方が儲かるならそれはもうしょうがないのかなぁ。