(レポート) 内製ツールを使ったチート診断・脆弱性診断 #denatechcon

はじめに

本ブログは2018年2月7日(水)に開催されたDeNA TECH CONFERENCE 2018のセッション、「内製ツールを使ったチート診断・脆弱性診断」のレポートです。

スピーカーは株式会社DeNAの汐田 徹也さん。

レポート

自己紹介

セキュリティエンジニア。
ミッション。
 ほぼ全てのサービスの脆弱性診断。
  オンラインモバイルゲーム、ゲームプラットフォーム、ECサイト、エンタメ系、オートモーティブ、コミュニティ、ヘルスケア...
 設計のセキュリティ面のレビュー。

DeNAの脆弱性診断について

セキュリティ部セキュリティ技術グループ。
 エンジニアだけの組織、10人弱。
 ほぼ全てのサービスの脆弱性診断を実施。
 新規のゲームがリリースされる時には2周間程度貼り付け。
 ネットワーク診断も実施。
診断チームと開発者の関わり方。
 内製ならではの大きなメリット。
  スケジュールを柔軟に設定可能。
  社内特有のフレームワークを理解して診断できる。
  診断経験を活かした設計のレビューや相談の対応が可能に。
設計レビュー、開発相談対応、脆弱性診断による検証、リリース後の情報収集。
診断対象はサーバサイドもクライアントサイドも対象。
主な診断対象。
 インジェクション、CSRF、権限、認証、チート等。
手法。
 ブラックボックス診断。
  開発環境/検証環境を使って診断。
  変な結果が出たらソースコードをもらって確認。
  権限や認証のような複雑な処理もソースコードをもらって確認。
 通信の改ざん、アプリやメモリの改ざん。
ツール。
 Burp Suite Professional,VEX、PacketProxy(内製)、IDA Pro、MemoryPatching(内製)
インジェクション系/CSRFの診断。
 自動で見れるところはスキャナ等のツールを使って自動化。
 その他はマニュアルで診断。
権限周りの診断。
 通信改ざんで本来出来ない操作ができないかを確認。
 自動化しづらいため手動で実施。
  ゲーム性によって脆弱性なのか仕様なのか違う。
 他人のメッセージが読める、他人のトレードが承認できる、他人のプレゼントボックスが受け取れる→致命的。
認証周りの診断。
 ログイン機能、SNSログイン、e.t.c.
 診断で見つけたくない、設計レビューで落としたい脆弱性。
  修正が大変。
 ありがちなパターンが存在。
  SNSのIDだけでトークンを利用していない、等。
チート系の診断。
 防げるチート。
  サーバ側のゲームロジックの実装不備。
  ゲーム特有で、結構観点出しが難しい。
   例えば、鎧を頭に装備出来てしまうとか。
   典型的なゲーム脆弱性リストを作っておくと良い。
   バリデーションミスで個数にマイナスを設定出来るとか。
 防げないチート。
  ゲームのアーキテクチャに依存。
   クライアント側にゲームロジックが存在するため。
   メモリ改ざんやバイナリ改ざん等。
   改ざんしたのか上手にプレイしたのかが区別できない。
 チート対策はいたちごっこ。
  完璧なチート対策は無い。
   最近のゲームではある程度クライアント側にロジックをもたせざるを得ない。
   諦めずに数を減らすことが重要。
    遊んでいてチーターがいるとUXが下がる。対応することがUX向上に繋がる。
  複合的に対策を導入することで改ざんを防いでいく。
 「チートはできる」ので「されにくく」する。
  されにくさって?
   攻撃の前提を上げていくこと。
   防げる攻撃者の技術レベルを仮定する。
    このレベルなら防げないけどこのレベルまでは防げる、のように。
  認証や権限管理は「されにくさ」で守るべきではない。
   アカウントの乗っ取りや他人のセーブデータを破壊することは絶対に守るべき。
   ゲームの進捗や成績の偽装、いたずらは「されにくさ」で守って良い。
 リスクコントロール。
  技術力のある攻撃者が最大限解析したら何が出来るのか、を把握する。
  人気のあるゲームは攻撃されやすい。
  リリースする国によっても変わる。
  診断者は、攻撃者が出来る攻撃を効率よく再現出来る必要がある。
 高度な攻撃者は何が出来るのか?
  サーバ側APIのパラメタを自由に設定して送信すること。
  通信上で表現できること=クライアントを解析した攻撃者が出来ること。
 高度な攻撃者を再現する。
  クライアント上での攻撃の結果は、全て通信上のパラメタで再現できる。

内製診断ツールについて

PacketProxy。
 高度な攻撃者として診断する準備。
  暗号化/難読化が解かれていること。
  各パラメタの意味がわかること。
  各パラメタを自由に改ざんできること。
  通信を自由に再送できること。
 それらを出来るようにするために作ったツール。
 HTTP以外の解析・改ざんに強い。
  TCP/UDPの通信をキャプチャ・改ざん可能。
 スマートホンの通信をProxyするためにDNSサーバを内包。
 ゲームに特化した機能。
  連射機能等。
TCP/UDPのための機能。
 ペイドードの分割・デコード・エンコードをプラグインとして実装可能。
 あらゆる通信をHTTPのように読める。
 一度誰かがプラグインを書けば他の人が引き継ぎ出来る、解析の属人性が排除出来る。
プラグイン処理の流れ。
 TCP/UDP通信を分割、デコード、エンコードする。
  意味を持つ単位でパケットを分割。
  パケットをJSON等の可読文字に変換。
  可読文字から元のプロトコルに戻す。

まとめ

DeNAでは脆弱性診断を内製で行っている。
チート対策は「されにくく」することが重要。
「されにくくする」対策を解除することで、高度な攻撃者を想定してリスクを洗い出す。
 対策を解除することが今後の対策へのフィードバックになる。
通信改ざんで様々な独自プロトコルに対応するためにPacketProxyを内製。
 実際に診断でメインに活用。  

さいごに

とても興味深い発表でした。チート対策についてはゲームのノウハウが詰まっていて面白かったです。