オンラインゲームの攻防戦
某オンラインゲームの開発で行われたチート対策について。
Yosuke HASEGAWA
@hasegawayosuke
スクエニ、ネットエージェントに診断を依頼する前は診断する時間があるくらいなら実装にコストをかけてよ、という声もあった。 #SECCON
2013-08-22 11:52:15
Yosuke HASEGAWA
@hasegawayosuke
診断なんて時間さえあればチェックできるという思いもあった。当初は自分たちで見つけられる問題の指摘もあったが、現在は「どうやって見つけてるんだ」というようなレベルの指摘。 #SECCON
2013-08-22 11:53:13
MK
@mk_umbrella
チート診断におけるセキュリティチェック観点。 1.仕組みを知る。 2.ネットで検索して周辺環境を調べる。 3.クライアントからの通信を見る。 など
2013-08-22 11:55:26
Yosuke HASEGAWA
@hasegawayosuke
(どういう視点で発見しているかの話題) いわゆるチートはある程度方法が確立されているところもある。僕(松田)はドラクエ2の復活の呪文の解析をしていた。ゲームに飽きたらチート。パケットのやり取りにすぎない。パケット中のゴールドを増やしたりマイナスにしたらどうなるかな #SECCON
2013-08-22 11:55:53
Yosuke HASEGAWA
@hasegawayosuke
自前でプレースホルダのようなものを再発明している実装もある。チートしている側はチームで効率よくやっている場合が多い #SECCON
2013-08-22 11:58:09
Yosuke HASEGAWA
@hasegawayosuke
「課金処理の実装でサボったりするのはやめて欲しいです、ほんと。」(しみじみ。松田) #SECCON
2013-08-22 11:58:38
Yosuke HASEGAWA
@hasegawayosuke
ドラクエ、botや不在プレイは規約違反。怪しい挙動は人力で。ただし、相手も画像解析などを用いて人のように振る舞う。 #SECCON
2013-08-22 12:00:26
Yosuke HASEGAWA
@hasegawayosuke
プロデューサーが理解していなくて対策できず公開直後に崩壊するのはセキュリティだけでなく負荷試験もある。開発者からプロデューサーへの要望として伝えなければいけない。 #SECCON
2013-08-22 12:01:45
Yosuke HASEGAWA
@hasegawayosuke
会場から質問。ドラクエXではセキュリティを担保するためにネットエージェントに依頼して診断しているが、他にはどんな手がある?ツール?
2013-08-22 12:03:08