企業とホワイトハッカーを結ぶ 日本初のバグ報奨金プラットフォーム BugBounty.jp

サイバーセキュリティエンジニアブログ

bugbounty.jp

BugBounty お客様の声

BugBounty.jpはゲームの「チート対策」に有効な手法(株式会社gumi)

Aug 1, 2016 10:00 by 岡本顕一郎

株式会社gumi
Technical Strategy & Development
Director
今村哲也 氏

参加を決めたきっかけを教えてください?

ネイティブアプリを開発していくにあたり、巧妙化するチートにどう対応していくのか、ということは重要な懸念事項としてあがっていました。チート対策としては、クライアントアプリを難読化するといった方法もありますが、複数のアプローチを組み合わせないと効果的な結果は出せないと考えていました。

もともと、海外には「バグ報奨金制度」のサービスがあることは知っていましたので、興味を持っていました。そして日本でも同様のサービスを行っている「BugBounty.jp」を知り、弊社のチート対策に有効なのではないかと考えました。さらに、日本初のサービスということで、新しいチャレンジを一緒にやってみたいという気持ちでトライしました。

ゲームのチート対策は難しいのでしょうか?

非常に難しい問題です。チート対策には、そもそもチートをさせないことを目的に、徹底的にバグや脆弱性を潰し込み、さらにはチートをされにくくするための工夫を凝らす「予防」的なアプローチと、チートを迅速に発見・対策することを目的に、さまざまな方法でバグや脆弱性を調査する「対処療法」的なアプローチの2つのやり方があります。予防的なアプローチでは、脆弱性を潰し込むために膨大な人的コストがかかります。また、チートを困難にするためのさまざまな工夫は、多くの場合、アプリの肥大化を招きます。コストが増え、また技術的なノウハウも必要でした。チート対策はもちろん必須なのですが、これでは我々の負担が大きい。

公開前にすべての脆弱性を修正するのが理想ですが、現実的には難しい。そこで、予防的なアプローチをとりつつ、対処療法的なアプローチであるBugBounty.jpにも並行して取り組むのがベストだと考えました。

参加にあたっての懸念事項などはありましたか?

社内では、「ホワイトハッカーが調査をすることで、悪意のあるユーザーが誘発されて攻撃するのではないか?」という声がありました。しかし、BugBounty.jpのプログラムがスタートしても、心配していたようなアタックが増えることはありませんでした。

今回のBugBounty.jpは本番環境を使って実施しましたが、「本番環境ではなく、調査用環境を別途用意して、そこでやったほうが良いのではないか?」という議論もありました。なぜ本番環境で実施したかというと、本番環境相当の調査用環境を用意するには人手も時間も必要であり、準備に時間がかかったためです。調査用環境を用意しても、本番環境でのチートがなくなる訳ではありません。それならば一日も早くチートを発見し、脆弱性を修正した方がユーザー様のためにもなると考えました。今回はグローバルリリース前のソフトローンチ期間中だったことも幸いし、本番環境での実施を決断しました。

BugBounty.jp終えてみての率直な感想をお願いします。

スキルの高いハッカー、知見のあるユーザーにチェックしてもらったことで、社内ではなかなか見つけることができなかった、もしくは発見するのに時間がかかったであろうバグや脆弱性を短期間で発見できたことは、ありがたかったです。致命的な脆弱性には即座に対応しますが、影響度や重要度が低いものであれば、修正が後回しになることもあります。しかし、そのような脆弱性があることを知っているのと知らないのとでは、万が一問題が発生したときの対処方法やスピード感もまったく変わってきます。そのため、情報を事前に把握できていることは非常に有意義だと考えています。

ここで得たノウハウや知見を次のゲーム開発に活かすことができ、社内にナレッジが蓄積されていくのもありがたいですね。

また外部のセキュリティ診断をお願いした場合、結果に関係なく費用が発生します。しかしBugBounty.jpは、発見された脆弱性に対して報奨金をお支払いするシステムなので、費用にも納得感がありました。

苦労した点は、リサーチャーの方から頂いた情報の確認と判断ですね。レポートされたチートの再現確認、影響範囲や想定される損失の見極めです。報奨金額をいくらにするかも悩みましたが、こちらはスプラウト様と相談して決定しました。また、これらに対応する工数の捻出にも苦労しました。リサーチャーの方は素早いレスポンスを期待してご報告くださったと思いますので、弊社としてもなるべく早くお返事をするように心掛けました。

今後の展望を教えてください。

これからリリースするゲームも積極的にBugBounty.jpに参加し、早い段階で脆弱性をなくしていきたいと思っています。ゲームをリリースした時点で、チートされる可能性がゼロであることが理想ですが、実際はなかなか大変です。

BugBounty.jpを利用することで、我々も気がつかなかったバグや脆弱性を、複数のプロフェッショナルの方々が見つけてくださるのはとても心強いことです。

BugBounty.jpのような手法を積極的に活用し、より品質の高いゲームやサービスを提供することで、ひとりでも多くのお客様に満足していただけることを我々は願っています。

この記事をシェアしませんか?

  • 0

この記事のライター

岡本顕一郎

岡本顕一郎

猫とダークウェブが好きなTHE ZERO/ONE編集長。座右の銘は今日やれる事は明日やろう

同じカテゴリーの記事