チート対策支援
サービス

Fantasy relies on strict reality.
We guard the invisible laws of your world.

技術的根拠に基づいた、実効性のあるチート対策を

クライアントとAPIサーバの両面から、貴社の防御機構を評価し、改善策をご提案します。

クライアントとAPIサーバ、どちらか一方でも弱点があれば、攻撃者はそこを突きチートを行います。
私たちは、攻撃者と同じ技術的視点から貴社のアプリを検証し、見落とされがちな弱点を特定します。

なぜ、チート対策が難しいのか?

チート対策は、特定の製品を導入するだけで完結するものではありません。攻撃者は複数の側面から攻撃を試み、「最小の労力で最大の効果」を得ようと試みます。
クライアントとAPIサーバの両面から「攻撃コストを高める」ための現実的な対策をご提案します。

クライアント解析によるチート

アプリがユーザの端末内にある以上、解析のリスクは常に存在します。リバースエンジニアリングにより、メモリ上の値の改ざんや、アプリ内部のロジックの書き換え、APIサーバとの通信方式の特定などが行われます。
難読化やバイナリの改ざん検知機能、デバッガ検知機能などの保護機構は必要に応じて解除されます。クライアントの挙動そのものをねじ曲げる攻撃が行われます。

APIへの不正な通信によるチート

攻撃者は中間者攻撃によって通信内容を把握します。リクエスト内容を改ざんして、サーバに誤った情報を送信します。
必要に応じてSSL Pinningは無効化、通信内容の暗号化は復号されます。リプレイ攻撃によるアイテムの増殖や、不正なスコア送信によるランキング操作など、不正なリソースの操作が試みられます。

ステラセキュリティの強み

① リバースエンジニアリングへの深い知見

代表は、リバースエンジニアリングツール「Ghidra」に関する国内有数の解説書を執筆・翻訳。「プログラムがどのように動いているか」を詳細に把握する技術を有しています。
また、代表は国内ゲーム会社にて7年間、チート対策担当として実務に従事。トップレベルの技術力に加え、開発現場のワークフローや運用負荷を熟知しています。単なるセキュリティの理論だけでなく、ゲーム固有の事情を考慮した、現場で「本当に使える」対策を導き出します。

マスタリングGhidra

マスタリングGhidra
(オライリー・ジャパン / 共訳)

リバースエンジニアリングツールGhidra実践ガイド

リバースエンジニアリングツールGhidra実践ガイド
(マイナビ出版 / 共著)

② 国際的に評価された検証ツールの開発力

世界最大級のセキュリティカンファレンスのツール開発部門「Black Hat Arsenal」にて、代表開発のメモリ改ざん検証ツールが選出。ツールを自ら開発できる技術力が、検証の精度を担保します。

検証の精度を支える独自ツールを開発・公開しています。

apk-medit

Memory search and patch tool on debuggable apk without root & ndk

ipa-medit

Memory modification tool for re-signed ipa supports iOS apps running on iPhone and Apple Silicon Mac without jailbreaking.

③ クライアントとAPIサーバ、両輪での対策で死角をなくす

クライアントとAPIサーバ、どちらか一方でも弱点があれば、攻撃者はそこを突きチートを行います。片手落ちの対策では資産を守りきれません。私たちは両面からの技術検証を行い、「クライアントで防ぐべき攻撃」と「サーバ側で防ぐべき攻撃」を明確にします。矛盾のない設計支援により、堅牢なエコシステムを構築します。

プランの一例

お客様の組織体制や課題に合わせて柔軟に支援内容をカスタマイズ致します。
定型でないご相談にも対応できる技術力を持っております。

1. チート対策 評価・選定支援プラン

独自実装や導入済みツールの実効性を、攻撃者の視点から徹底検証
カタログスペックだけでは判断しにくい「実際の防御力」を明らかにします

独自に実装されたチート対策や導入済みのチート対策ツールの実効性を検証します。

主な検証内容

  • リバースエンジニアリングに対する耐性の調査
    難読化やバイナリの改ざん検知、デバッガ検知などを解除し、アプリ内部のロジックを直接書き換えられるかを検証します。
  • 通信経路に対する攻撃への耐性評価
    SSL Pinningや通信内容の暗号化を突破し、リクエスト/レスポンスの内容を改ざんできるかを評価します。
    リプレイ攻撃への耐性も確認します。
  • メモリ改ざんへの耐性評価
    メモリ上での値の改ざんが可能か、検知できるかを評価します。
  • 運用コストと防御機構のバランス分析
    実効性だけでなく、実装面、運用面での負荷も考慮した総合的な評価を行います。

このような企業様におすすめ

  • チート対策ツール導入を検討中、または既存の対策の実効性に疑問をお持ちの企業様。

2. アプリ堅牢化支援プラン

設計・開発段階から参画し、弱点の作り込みを防止
リリース後の抜本的な改修リスクを低減し、中長期的な対策コストを抑制します

設計・開発段階から参画し、弱点の作り込みを防ぐためのアドバイスを行います。

主な検証内容

  • 安全なAPI設計
    暗号化方式、リクエストの整合性、リプレイ攻撃対策の策定支援を行います。
  • リバースエンジニアリング対策設計
    難読化、デバッガ検知機能、改ざん検知機能など解析を困難にするための実装の提案を行います。
  • サーバサイド検証の強化
    クライアントからの不正な値を検知するためのロジックの提案を行います。

このような企業様におすすめ

  • 新規タイトルを開発中、または既存のアプリケーションの耐タンパ性を向上させたい企業様。

導入までの流れ

1. お問い合わせ

お問い合わせフォームよりセキュリティ顧問サービス希望の旨をご連絡ください。
回答いただける範囲で問題ありませんのでご希望の相談内容やお困りの内容をお伝えください。
ヒアリング前にNDAの締結が必要な場合は併せてお伝えください。

2. ヒアリングとお見積り

現状の課題や懸念点(チート被害の有無や開発フェーズなど)について伺います。
アプリの構成や採用している対策技術をヒアリングします。
貴社のニーズに合わせ、検証範囲や提供する形態をご提案致します。

3. 支援実施

契約締結後、エンジニアによる実作業(検証・設計支援・ガイドライン作成など)を開始します。

4. レポート・フィードバック

評価結果のレポート提出や、オンライン会議での技術解説を行います。

よくあるご質問

Q. どのようなプラットフォームに対応していますか?

ブラウザゲーム、iOS/Androidアプリ、およびそれらが通信するAPIサーバに特に強みを持っています。Windows向けゲームにつきましても、検証内容により対応可能ですので、ご相談ください。ゲーム以外にも耐タンパ性が求められるアプリケーションに対応可能です。

Q. 継続的なサポートは受けられますか?

はい、月次の技術顧問契約も承っております。開発フェーズにおける継続的なレビューや、Slackなどのチャットツールを用いた随時の技術相談が可能です。

Q. 特定の製品の導入を前提とした提案ですか?

いいえ。弊社は特定の製品を販売する代理店ではありません。貴社の要件に最も適した実装手法や製品を、中立的な立場でアドバイスいたします。

Q. 相談内容の秘匿性は守られますか?

はい。秘密保持契約(NDA)を締結し、プロジェクトの機密情報を適切に管理いたします。

お気軽にお問い合わせください

攻撃者と同じ技術的知見を持つ専門家が、貴社のチート対策をサポートします。
まずはお気軽にご相談ください。

お見積もり・お問い合わせ