【Unity道場スペシャル 2017京都】スマホゲーム開発者なら知っておくべきチートのリスク＆対策

スマホゲーム開発者が 知っておくべき チートのリスク＆対策

小林亜実 株式会社DNPハイパーテック マーケティング部

DNPハイパーテックとは 会社概要 商号 所在地 設立 株式会社DNPハイパーテック（大日本印刷グループ） 京都市下京区（京都リサーチパーク内） 1994年5月18日 業務内容 • BtoBセキュリティソフトの開発 • 特許業務支援ソフトの開発 • 特許戦略コンサルティング

本日のゴール Unityを使ってスマホゲームを開発・運営されている方に アプリ（クライアントサイド）のチート対策 について理解を深めていただく

アジェンダ 1. チートが引き起こす問題 2. チート手法 3. ケーススタディ『改ざんapkの蔓延』 4. まとめ 5. チート対策「CrackProof」のご紹介 6. 最近のトピック

1. チートが引き起こす問題

チートとは？ 定義 『ゲームを優位に進めるため、 制作者の意図しない動作を させる不正行為』 （Wikipediaより） チート例 スコアやヒットポイントの操作 ステージやシナリオの解放 レアキャラクターの入手 ゲームプレイの自動化 課金アイテムの入手 アプリ内広告の無効化 GPSの位置偽装 etc…

チートが引き起こすリスク RISK1 RISK2 RISK3 ゲームバランス崩壊 収益機会の損失 レビュー炎上 ユーザー離れ ビジネス失敗 新規DLが… ゲームの運営にはチート対策が必須！

2. チート手法

チート手法 弊社で作成したアプリ ・パッチツールによるアプリ内広告の無効化 ・メモリ改ざんツールによる課金アイテムの入手

パッチツールによるアプリ内広告の無効化 弊社で作成したアプリ

パッチツールによるアプリ内広告の無効化 弊社で作成したアプリ

メモリ改ざんツールによる課金アイテムの不正入手 弊社で作成したアプリ ① ジュエル（課金アイテム） ５０個消費→アイテム１個 *課金時にはサーバーと通信 ②アイテム １個消費 →Attack１０倍

デモでやること メモリをいじって ジュエルをタダで増やす →アイテムに交換 →Attack上げる ！敵を一撃で撃破

チート手法 弊社で作成したアプリ ・パッチツールによるアプリ内広告の無効化 ・メモリ改ざんツールによる課金アイテムの入手 ユーザーにとっては意外とカジュアルな行為

3. ケーススタディ 『改造apkの蔓延』

3. パブリッシャーA社様 のケース チート対策のお問い合わせがあった 被 害 プレイヤーの攻撃力を増大させるよう 改造したapkが出回っている 実際に収益が大きく損なわれており 急いで対策したい

なぜ改造apkがつくられたのか ①DLLファイルの解析・改ざん ②メモリの解析・改ざん ③再署名して再パッケージ

なぜ改造apkがつくられたのか ①DLLファイルの解析・改ざん ②メモリの解析・改ざん ③再署名して再パッケージ

DLLファイルとは 中間言語 機械語 00010011 JIT コンパイル 10101000 ビルド 00001000 apk ロード C#で書いた ソースコード 10101001 00100100 .DLL .DLL 機械語 libmono.so 関数呼び出し libunity.so

ソースコードへ戻すことが容易 コンパイル （DLLファイルに） 逆コンパイル （ILSpyなど） ソースコード （ C# ） 0001001110010 0100100100011 0111010100000 0010001010100 1001001000110 1110000100111 0010010010010 0011011101010 0000001000101 0100100100100 01101110 バイナリ ファイル

逆コンパイルすると… ソースコード(.cs) ILSpyで逆コンパイルした Assembly-CSharp.dll

対策手法（DLLファイルの解析・改ざん対策） ・難読化 ・暗号化 ・ハッシュ値をチェック(SHA-1, SHA-256 等) ・IL2CPPを使ってネイティブファイルで出力

IL2CPPを使ってネイティブファイルで出力するって？ IL2CPP：Intermediate Language to C Plus Plus IL2CPP は Unity が開発したスクリプティングバックエンドで、ある種のプラットフォーム のプロジェクトを作成するときに、Mono の代わりに使用できます。IL2CPP を使ってプロ ジェクトを作成することを選択すると、Unity は選択したプラットフォームのネイティブ バイナリファイル (.exe, apk, .xap など) を作成する前に、スクリプトからの IL コード (CIL、Common Intermediate Language、共通中間言語) を変換し C++ コードに組み立て ます。（Unityマニュアルより） →C#(中間言語コード)をC++(ネイティブコード)に変換する仕組み 記述したコードは libil2cpp.so（SOファイル）に変換される。

• https://en.wikipedia.org/wiki/Common_Intermediate_Language

逆アセンブルすると… 内容を解析するには、 各CPUの命令のアセンブリ言語を 理解する必要がある。 解析のハードルが高い objdumpで逆アセンブルしたlibil2cpp.so

IL2CPPの使い方 ① Android NDKに、パスを設定する ② Player Settings>Others Setting内の Configurationカテゴリで、 Scripting BackendをIL2CPPに変更する。

対策手法（DLLファイルの解析・改ざん対策） ・難読化 A社チート対策チームは 難読化を施していた ・暗号化 ・ハッシュ値をチェック(SHA-1, SHA-256 等) ・IL2CPPを使ってネイティブファイルで出力

なぜ改造apkがつくられたのか ①DLLファイルの解析・改ざん ②メモリの解析・改ざん ③再署名して再パッケージ

デバッガアタッチによるメモリアクセス ◆ モジュール間の連結部分を狙う 呼び出し方が決まっているから 処理がわかってしまう 難読化できない ◆ ブレークポイントやステップ実行を利用 動きがあった時にどのメソッド・関数が 呼ばれているかがわかる

対策手法 ・デバッガを検知する関数・クラスを利用 Ex).NET FrameworkのDebuggerクラス（System.Diagnostics名前空間）の IsAttachedプロパティを使用する Weak Point ・デバッガを検知する部分のコードを改ざんされると意味がない ・自分自身も、作ったアプリをデバッグできない

なぜ改造apkがつくられたのか ①DLLファイルの解析・改ざん ②メモリの解析・改ざん ③再署名して再パッケージ（そして再配布）

再署名、再パッケージそして再配布 GooglePlayでの配布(再配布)時には署名が必要 署名とは アプリが正規のパブリッシャーにより作られたものかを証明するもの 正規の署名でなければGoogle Playにアップできない アプリの再配布対策に有効！！ 野良サイトで配布されれば署名は意味がない 意外と盲点：オリジナルと違う署名でも再パッケージ自体は可能！

対策手法 ・自己署名を検証する Ex) 起動時にPackageInfo（パッケージ情報を取得するclass）経由で 署名情報を取得し、自己署名と比較する Weak Point 署名を検証する部分のコードを改ざんされると意味がない ・ハッシュ値をチェック

4. まとめ

A社事例の対策手法 DLLファイルの 解析•改ざん 難読化 暗号化 メモリ上の コード解析 デバッガ検知 再署名 ＆再パッケージ 自己署名を検証 ハッシュ値チェック ハッシュ値チェック ・時間をかければ解読される ・プログラム実行中だと解読される 署名を検証する部分のコードを 改ざんされると意味がない

そのほかの対策手法 DLLファイルの 解析•改ざん 難読化 メモリ上の コード解析 デバッガ検知 暗号化 再署名 ＆再パッケージ 自己署名を検証 ハッシュ値チェック ハッシュ値チェック メモリ上の数値の 解析•改ざん デバッガ検知 プログラミングの工夫 Root / Jb端末で 動作させ解析 Root / Jbの検知 エミュレータ上で 動作させ解析 エミュレータ検知

DLLファイルの 解析•改ざん 難読化 メモリ上の コード解析 デバッガ検知 暗号化 再署名 ＆再パッケージ 自己署名を検証 ハッシュ値チェック ハッシュ値チェック チートは多面的に対策する必要がある。 メモリ上の数値の 解析•改ざん Root / Jb端末で 動作させ解析 エミュレータ上で 動作させ解析 署名を検証する部分のコードを 改ざんされると意味がない デバッガ検知 プログラミングの工夫 Root / Jbの検知 エミュレータ検知

5. チート対策セキュリティ 「CrackProof」のご紹介

CrackProofとは Protect your App チート対策 海賊版の防止 アプリを不正な解析・改ざんから 保護し、チート被害を防止する セキュリティソフト アルゴリズムの保護

CrackProofをお使いいただく価値 忙しいゲーム開発現場ですぐに使えて 時間も手間もかけずにチート対策

時間も手間もかからない理由 ①開発工程に影響なし ②クラウドで堅牢化処理 ビルド STEP1 セキュリティオプションを選択 リリース 開発工程図 プログラミング STEP2 アプリをアップロード デバッグ テスト STEP3 クラウド上で自動処理 STEP4 起動確認してリリース！ CLIツールに統合することも可能

CrackProofの保護機能 特長 静的解析も動的解析も阻止 セキュリティ機能（一部） 静 静的解析とは ファイルレベルの解析 ファイル暗号化 実行ファイル改ざん対策 エミュレータ対策 コードインジェクション対策 動 動的解析とは 実行中のプログラムに 対する解析 デバッガ対策 メモリアクセス対策 特権取得対策 etc…

CrackProof 対応プラットフォーム 主要OS、さらにUnityに対応 android Windows iOS Linux NEW ＋ Unityで作成したDLLファイルを保護

CrackProofの実績 430 累計 “ 安定した ” 動作と軽さ “ 以上のゲームタイトル に採用！ 当社の開発環境に ” ピッタリ合いました “ うれしいことにチート ” 被害が止まりました “ サポートが ” 丁寧です

万全のサポート体制 サポート専任チームが導入前から導入後 までしっかりフォローします！ メーカー直接サポートだから 素早く問題解決 日本のお客様には 日本語でサポート 安心の 国内 ート サポ 10年以上のノウハウに基づく 運用コンサルティング

番外編 VRアーケードゲームにおける セキュリティの話

世界のVR市場 30 $28.3Bn 22.5 15 $16.2Bn 7.5 $3.7Bn 0 2016 2017 2018 ソフトウェア/サービス 2019 2020 ハードウェア

VRアーケード オランダ 中国 De VR Arcade Amsterdam 東方科幻谷 ショッピング モール内 テーマパーク 内 アメリカ IMAX VR センター ゲーム センター 内

VRアーケードゲームにおけるセキュリティリスク DRM

VRアーケードゲームにおけるセキュリティリスク

VRアーケードゲームにおけるセキュリティリスク ランチャー コンテンツ コンテンツ コンテンツ 実はPC

VRアーケードゲームにおけるセキュリティリスク ランチャー USBドングル認証 ID/パスワード認証 コンテンツ コンテンツ コンテンツ

VRアーケードゲームにおけるセキュリティリスク
認証APIを複数箇所で
呼び出していても…

void __fastcall TForm1::FormCreate(TObject *Sender)
{
Form1->Height = 167;
if ( RasCtrl1->UseSpValue == -1 ) // True
CheckBox1->Checked = true;
else
RasCtrl1->UseSpValue = false;
Edit5->Text = RasCtrl1->UserName;
Edit6->Text = RasCtrl1->Password;
Edit2->Text = RasCtrl1->SpTelephoneNumber;
Edit3->Text = RasCtrl1->SpDomainName;
Edit4->Text = RasCtrl1->SpCallBackNumber;
RasCtrl1->ReDialTimes = 1;
RasCtrl1->ReDialInterval = 10;
}
//--------------------------------------------------------------------------void __fastcall TForm1::BtnOptionClick(TObject *Sender)
{
if ( BtnOption->Caption == "korenya >&>" )
BtnOption->Caption = "&<<mikketa";
BtnOption->Caption = "dongle_ninshiki >&>";
}
ListBox1->SetFocus();
}
//--------------------------------------------------------------------------void __fastcall TForm1::BtnConnectClick(TObject *Sender)
{
//nyannyanya
ButtonMode( false );

//
//
//
//
//

//NTRasmon.exetatiate
On Error Resume Next
If m_Rasmon = 0 Then
m_Rasmon = Shell("rasmon.exe", vbNormalFocus)
End If
On Error GoTo 0
Form2->Caption = RasCtrl1->EntryName;
RasCtrl1->UserName = Edit5->Text;
RasCtrl1->Password = Edit6->Text;
if ( CheckBox1->Checked == false )
{
RasCtrl1->UseSpValue
RasCtrl1->SpTelephoneNumber = Edit2->Text;

= -1;

VRアーケードゲームにおけるセキュリティリスク
認証APIを複数箇所で
呼び出していても…
クラッキングツールや
熟練のクラッカーによって
呼び出し自体を無効にされる

void __fastcall TForm1::FormCreate(TObject *Sender)
{
Form1->Height = 167;
if ( RasCtrl1->UseSpValue == -1 ) // True
CheckBox1->Checked = true;
else
RasCtrl1->UseSpValue = false;
Edit5->Text = RasCtrl1->UserName;
Edit6->Text = RasCtrl1->Password;
Edit2->Text = RasCtrl1->SpTelephoneNumber;
Edit3->Text = RasCtrl1->SpDomainName;
Edit4->Text = RasCtrl1->SpCallBackNumber;
RasCtrl1->ReDialTimes = 1;
RasCtrl1->ReDialInterval = 10;
}
//--------------------------------------------------------------------------void __fastcall TForm1::BtnOptionClick(TObject *Sender)
{
if ( BtnOption->Caption == "korenya >&>" )
BtnOption->Caption = "&<<mikketa";
BtnOption->Caption = "dongle_ninshiki >&>";
}
ListBox1->SetFocus();
}
//--------------------------------------------------------------------------void __fastcall TForm1::BtnConnectClick(TObject *Sender)
{
//nyannyanya
ButtonMode( false );

//
//
//
//
//

//NTRasmon.exetatiate
On Error Resume Next
If m_Rasmon = 0 Then
m_Rasmon = Shell("rasmon.exe", vbNormalFocus)
End If
On Error GoTo 0
Form2->Caption = RasCtrl1->EntryName;
RasCtrl1->UserName = Edit5->Text;
RasCtrl1->Password = Edit6->Text;
if ( CheckBox1->Checked == false )
{
RasCtrl1->UseSpValue
RasCtrl1->SpTelephoneNumber = Edit2->Text;

= -1;

必要な対策 堅牢化 DRM （解析・改ざん対策）

番外編 Unite Austinの様子

Unite Austin 期間：10月3~5日 場所：テキサス州オースティ ン

基調講演→ ←ネットワーキングパーティ会場

←会場フロア ←女性向けワークショップ

展示ブース

ご清聴ありがとうございました！ www.hypertech.co.jp/game

• http://www.hypertech.co.jp/game