第5回 Flashで作ったゲームも攻撃対象になるんです!
杉山 俊春三井物産セキュアディレクション株式会社
テクニカルサービス事業部
コンサルタント
2006/3/11
| Web担当に異動してからの数々の功績によって、星野君はすっかり「社内のセキュリティ何でも屋さん」状態だ。いままでに発見し対処してきた脆弱性は、SQLインジェクションにクロスサイトスクリプティングなど有名どころを一通り。今日はひさびさの休日。飼い猫たちとのんびり、ゴロゴロしていると……。 |
できたてのFlashゲームであり得ない高得点連発
今日は日曜日。星野君は自宅でゴロゴロしていた。山下君が家にやってくる予定なのだが、約束の時間まであと1時間くらいある。特にすることもないので、飼っている猫のクロとシロと遊んでいた。
クロはやんちゃで自由奔放、シロはおとなしくかなりの甘えん坊と、まったく正反対の性格の猫だ。星野君がシロと遊んでいると、クロが邪魔をしてくる。「そうかそうかこっちもかまってやらねば」と思ってクロの方に注意を向けると、途端に「興味なんてないもんね」といっているかのようにそっぽを向いてしまう。そんないつもの光景だった。
「ピンポーン」
玄関でインターホンが鳴ると、クロは玄関に向かって走っていった。玄関を開けると、山下君が立っていた。
| 星野君 | 「お、早かったね」 |
| 山下君 | 「うん。ちょっと寄り道して買い物するつもりだったんだけど、定休日だったみたいで」 |
| 星野君 | 「ま、取りあえず上がってよ」 |
山下君はクロをひょいっと抱えると部屋に入っていく。
| 星野君 | 「昨日、新しくFlashゲーム完成させたんだけどやってみない?」 |
| 山下君 | 「おっ。いいねぇ。どんなの?」 |
| 星野君 | 「ま、カンタンなやつなんだけどさ。まずね……」 |
星野君は山下君にゲームの内容の説明を始めた。ルールは至って簡単なものだ。プレーヤーは自分のキャラクターに対して能力を設定し、敵と戦闘する。戦闘を重ねて経験値がたまるとレベルが1つずつ上がっていく。敵には、デフォルトで用意されている敵データと、ほかのユーザーが登録したデータとの2種類がある。これらの敵との戦闘に勝利していくことで自分のランクが上がっていくというものだ。
| 山下君 | 「へぇ〜。また凝ったもの作ったね。ちょっとだけやってみる〜。クロ、おいで〜」 |
山下君は、クロをひざに乗せると星野君が作ったゲームをやり始めた。クロはなぜだか山下君にとてもなついている。飼い主である星野君にはいまだにまったくなついてくれず、ひざの上に乗ってきたことなど一度もない。あそこまでべったりなついていると、飼い主としてなんだかやるせない気持ちになってしまう。なんとか、クロの気を引こうと頑張ってみるものの、クロは山下君にご執心で、星野君のことなどまったく気にも留めないようだった。
| 山下君 | 「これって、昨日作ったゲームっていってたよね!?」 |
| 星野君 | 「え? うん。そうだけど……?」 |
| 山下君 | 「そうなんだぁ。それにしちゃ、上位ランクの人たちがあり得ない数字たたき出してるみたいだけど……」 |
| 星野君 | 「え? うっそ??」 |
星野君がランキングデータを確認してみると、レベルが1000を超えているデータが上位にランクインしていた。いくら頑張っても、1日で50までレベルを上げるのがやっとのはずだ。しかも、ランキング1位のキャラクターには、レベル1000の強豪たちを凌いでレベル1のキャラクターが君臨している。
| 星野君 | 「えぇっ! これ絶対何かおかしい……」 |
| 山下君 | 「データを書き込む部分にバグがあるんじゃない?」 |
| 星野君 | 「その部分は、前に作ったゲームで使ってたやつをそのまま持ってきてるだけだから、特に新たなバグがあるとは思えないんだけどなぁ……」 |
| 山下君 | 「じゃあ、どこかで書き換えられてるとかじゃない?」 |
| 星野君 | 「Flashの中でデータをやりとりしてるから、外からは見えないと思うんだけどなぁ」 |
| 山下君 | 「パケットとか眺めてれば見えちゃうんじゃない? ねー、クロ♪」 |
| クロ | 「にゃにゃー」 |
山下君はクロと戯れ始め、星野君の話を半分しか聞いていないふうであった。だが、この一言で星野君は気が付いた。
| 星野君 | 「(そうか……。これもWebアプリケーションなんだから、検査補助ツールを使えば通信内容を見られるのかも……)」 |
Flashを利用していると忘れがちだがHTTPで通信を行っているので、ほかのコンテンツと同様、検査補助ツールで通信をインターセプトすることが可能である。
サーバ側のWebアプリケーションはだいぶ昔に作ったものだ。新しくFlashでゲームを作るときも、昔に作ったFlashから流用しているだけ。当然、サーバ側のWebアプリケーションは汎用的に作られているのだが、汎用的な分、セキュリティをまったく考えてない作りになっていたような記憶が微かにあった。
1/3 |
 |
| Index | |
| Flashで作ったゲームも攻撃対象になるんです! | |
 |
Page1 できたてのFlashゲームであり得ない高得点連発 |
| Page2 Flashゲームで不正行為し放題だったわけは ディレクトリトラバーサルは直せても解決に至らず |
|
| Page3 ゲームが気になりすぎて背後のあの人に気が付かず ほとんど作り直しだー |
|
星野君のWebアプリほのぼの改造計画 バックナンバー
 |
星野君のWebアプリほのぼの改造計画 連載インデックス |
TechTargetジャパン
- Facebook タイムライン利用時の「鉄則」 (2012/2/9)
ユーザーインターフェイスの変更措置に伴い浮上した、Facebookの「過剰な情報提供」のリスクと対策とは - 無料サービスなら通信内容を記録してもいいの? (2012/1/13)
無料の公衆無線LANサービスが、ユーザーに無断で通信履歴を記録していたことが判明し、話題に - 攻撃はまるでレーザービーム (2011/12/26)
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、人に教育さえしておけば防げるものなのでしょうか? - 見せたくないなら「持たせない」が鉄則! (2011/12/15)
逆コンパイル対策で難読化したのに、大事なデータが解析されちゃった? Androidアプリのセキュリティの道は深い
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。