SECCON予選も佳境 - 横浜大会ではルート化禁止できないゲーム業界の裏事情も

優勝したtotem氏

果敢にも回答に挑んだのは、大学2年生のtotem氏。1年前よりプログラミングを勉強し、セキュリティに興味を持ったのはつい最近とのこと。セキュリティ・キャンプ全国大会への参加が決まったことから、勉強も兼ねて問題へチャレンジしたという。

回答にあたっては、掲示板の情報や「Google」による検索を駆使し、さらに米国や中国といったサイトで情報を収集。デバッグ用の設定へ変更できる不具合など、発見した脆弱性の解説や、対策にともなうメリットやデメリットなど、プレゼンテーションをまとめあげた。

同氏の今回のプレゼンテーションは、出題側も見落としていた不具合が指摘されるなど、審査員は高く評価したが、そのなかでも注目されたやりとりは、端末における「ルート権限」の取得問題。totem氏は、チートを行う際に端末の「ルート権限」が取得されるケースがあることに着目。対策のひとつに盛り込んだ。

これに対して審査委員の岩崎啓眞氏は、「対策を講じたいのが本音。しかし、ルート化やジェイルブレイクを行う人は、知識がある上、アクティブで課金をしてくれることも多い。禁止するとよいお客さんを失ってしまうおそれもある」と説明。単にセキュリティを強化すれば良いのではなく、ビジネス面も踏まえて対策を講じなければならない生々しい現場からの意見に会場も盛り上がった。

（Security NEXT - 2016/10/28 ） ツイート

PR

関連記事

NTTデータウェーブ、スマホ向けアプリの脆弱性診断サービス
A10、DDoS対策アプライアンスのラインアップを追加
9月のフィッシング報告、前月から半減 - URLとブランド悪用は増加
フィッシング報告件数が前月の4分の1へ大幅減 - ユニークURL件数も3分の1以下に
相談件数が2000件を突破、ワンクリック詐欺も最多記録を更新 - IPAまとめ
2013年のフィッシング報告件数は1万5000件超 - 前年比17倍と急伸
「Pokémon GO」便乗の不正アプリ、1カ月で約12倍に - 説明通りのアプリはわずか1割強
複数アダルトゲームにOSコマンドインジェクションの脆弱性
フィッシング報告、前月比1.8倍に - 類似文面を使い回し、攻撃拡大の可能性
ゲームサイトにDDoS攻撃 - サービス復旧後も攻撃継続中