- ゲームチート
ペネトレーションテスト -

ハッカーによる完全手動診断。チーターが狙う脆弱性を顕在化しチート対策を支援

有償アイテム購入やガチャ機能などの課金サービスやユーザデータベース更新機能、対人ゲームにおけるアドバンテージ獲得などチート行為が可能となる脆弱性が存在しないかを、ゲームごとの特性に合わせて実施します。

検出事例

FPSゲームにおいて対戦相手の遠隔キルが可能
権限のないクエストやステージを解放可能
有料ガチャの回数を増やしたり無制限にすることが可能
キャラクターやアイテムのレベルを改ざんすることが可能など

ゲームチート
ペネトレーションテストは
こんな方におすすめ

ゲームチートペネトレーションテストの
2つの特長

サーバ通信や端末内データの解析から、暗号モジュールのリバースエンジニアリングやメモリパッチ・バイナリパッチまで対応します。

01多種多様なエンジン、OS、ゲームカテゴリに対応

弊社のゲームチートペネトレーションテストでは多様な診断実績と高度な知見/経験を持つエンジニアが実施を行い、あらゆるゲームチートに対するペネトレーションテストを実施することが可能です。また、ゲームのジャンル/特性によって想定脅威の柔軟な評価、実際によく用いられるチート開発手法から緩和策、対策方法の提案が可能です。

診断実績例

様々なゲームエンジンのゲーム診断実績
UnrealEngine / Unity / Cocos2d-x / SourceEngine など
PC/スマホ問わず、様々なＯＳ上のゲームの診断実績あり
Windows / Android/ iOS
多種多様なゲームカテゴリの診断実績
バトルロイアル / MMORPG / 音楽ゲームなど

診断実績の具体例

バトルロイヤル（対人戦ゲーム）
自キャラクターのステータス強化や画面外の敵の表示/攻撃等のアドバンテージを与えられないか
不正なパケットを送信して、他プレイヤーを切断させられないか　など

02様々なアプローチによるチートの診断を実施します

アプリケーションを様々な手法で検査を行い、端末内データの解析/サーバ通信、暗号モジュールのリバースエンジニアリング、メモリパッチ、バイナリパッチまで幅広くチート診断を実施します。

スコア改ざんの診断例

無課金でアイテムが使用できるかの診断例

ゲームチート
ペネトレーションテストの
診断フロー

01
ゲームチート診断事前準備
ゲームの特性の理解と診断範囲の明確化

ゲームの特性を把握し、ゲームチート診断において重点的に行わなければならない箇所を特定いたします。
1. ゲームの構成をヒアリング
  仕様書や担当者様へのヒアリングを通してゲームの内容や特性を理解します。
2. ゲームチート診断実施方針の策定及びお見積り
  ゲームチート診断の目的に則って重点的に行わなければならない項目を策定します。その後お見積りをお出しします。
02
ゲームチート診断
完全手動によるゲームチート診断

完全な手作業で診断を実施します。非常に高度なリバースエンジニアリングまで対応しています。
1. 静的解析
  リバースエンジニアリングしたソースコードからチート行為につながる脆弱性を調査します。パラメータ改ざん対策として暗号やハッシュ値を利用している場合はアルゴリズムと鍵を特定できないか調査します。
2. 動的解析
  アプリを動作させた際に生成されるファイルやサーバ連携で発生する通信の改ざんによってチートができないか調査します。要望がある場合はメモリパッチやバイナリパッチによるチートも調査します。
03
ゲームチート診断報告及び改善案提出
解析/診断実施結果報告

検知された脆弱性や全体としてのセキュリティ強度、危険性、今後の対策まで触れていきます。
1. 脆弱性の再現手順
  検知された脆弱性の再現手順を個別に明記します。また対策方法についてもご説明します。
2. 総合評価
  全体としてのセキュリティ強度や、危険性についてコメントし、今後の対策まで触れていきます。
  ※オプションプランとして、報告会や再診断についてもお客様のご要望に応じて対応します。

セキュリティ診断の結果や行うべき対策がわかる

セキュリティ診断レポートサンプルをお送りします

セキュリティ診断で発見された脆弱性と、具体的な内容・再現方法・リスク・対策方法を報告したレポートのサンプルをご覧いただけます。

お申し込みはこちら

ゲームチートペネトレーションテストの
診断項目

有料アイテムの取得	端末内に保存されているSQLiteデータベースのデータを改ざんし、任意の有料アイテムを取得できるか確認します。
通信改ざん（リクエスト・レスポンス）	サーバとやり取りされる通信（リクエスト・レスポンス）を改ざんすることによって、ユーザのレベル、HP、アイテムを任意の値に変更できないか確認します。
他ユーザのアカウント乗っ取り	ユーザ識別子として端末固有ID（AndroidID、IMEI等）を暗号化して利用しているアプリにおいて、端末固有IDの書き換えによって他ユーザのアカウントを乗っ取ることができないか確認します。
デバッグモードの起動	バイナリ内に隠しコマンドとしてデバッグモード、テストサーバ接続などの情報があり、通常と違う環境でゲームを起動できないか確認します。
レースコンディション	ガチャや課金などの重要機能においてを回すリクエストを同時に複数送信することにより1回分の費用でアイテムが複数取得できないか確認します。
課金APIの脆弱性	アイテム購入後にキャンセルAPIをPCから直接叩くことによって費用なしでアイテムを取得できないか確認します。
レスポンス改ざん	サーバからダウンロードするデータを改ざんすることによって任意のモンスター取得、レベル・HPの変更ができないか確認します。
ポイントの不正取得	端末内にあるファイルを改ざんすることにより任意のポイント数を取得できないか確認します。
メモリ改ざん	メモリ改ざんによって敵HPを任意の値に変更することができないか確認します。
バイナリ改ざん	ギミックアクションゲームのバイナリ改ざんを行うことによって自動クリアなどのチートができないか確認します。
暗号ロジックの解析	通信やセーブデータを暗号化している場合はリバースエンジニアリングによって復号できないか確認します。

※記載された項目は一例であり、実際にはゲームの特性に合わせて変化します。

ゲームチートペネトレーションテスト
診断レポートサンプル

発見された脆弱性をクライアント企業にて迅速に修正できるよう、具体的な内容・再現方法・リスク・対策方法をご報告します。詳しくは、診断レポートのサンプルをご請求ください。

お申し込みはこちら

価格

対応内容・期間などにより変動いたします。詳細なお見積もりについてはお気軽にお問い合わせください。

お見積り・お問い合わせ

よくある質問

Qゲーム独自の暗号化通信を含む評価に対応していますか？: A対応可能です。対象の仕様書や実物をご確認させて頂き、対応を決定します。（※別途調査工数が発生する場合があります）

Q開発中のゲームですが、テストは可能ですか？: A対応可能です。開発スケジュールに応じた柔軟なテストスケジュールでご提案いたします。

Qアプリケーションファイルだけでテストは可能ですか？: A対応可能です。ソースコード等のご提供は不要です

ゲームチート
ペネトレーションテストについて
もっと詳しく知りたい方はこちら

お見積もり・お問い合わせ

診断レポート・資料請求

導入事例

セキュリティを意識した開発工程で手戻りを防止

株式会社ドリコム

ソーシャルゲームのスマホアプリ脆弱性診断事例

コンシューマゲーム・ソーシャルゲーム開発/運営会社

- ゲームチート
ペネトレーションテスト -

ハッカーによる完全手動診断。チーターが狙う脆弱性を顕在化しチート対策を支援

検出事例

ゲームチート
ペネトレーションテストは
こんな方におすすめ