検索
連載

Flashで作ったゲームも攻撃対象になるんです!星野君のWebアプリほのぼの改造計画(5)(1/3 ページ)

PC用表示 関連情報
Share
Tweet
LINE
Hatena

Web担当に異動してからの数々の功績によって、星野君はすっかり「社内のセキュリティ何でも屋さん」状態だ。いままでに発見し対処してきた脆弱性は、SQLインジェクションにクロスサイトスクリプティングなど有名どころを一通り。今日はひさびさの休日。飼い猫たちとのんびり、ゴロゴロしていると……。


できたてのFlashゲームであり得ない高得点連発

こたつで飼い猫とゴロゴロしている星野君

 今日は日曜日。星野君は自宅でゴロゴロしていた。山下君が家にやってくる予定なのだが、約束の時間まであと1時間くらいある。特にすることもないので、飼っている猫のクロとシロと遊んでいた。

 クロはやんちゃで自由奔放、シロはおとなしくかなりの甘えん坊と、まったく正反対の性格の猫だ。星野君がシロと遊んでいると、クロが邪魔をしてくる。「そうかそうかこっちもかまってやらねば」と思ってクロの方に注意を向けると、途端に「興味なんてないもんね」といっているかのようにそっぽを向いてしまう。そんないつもの光景だった。

 「ピンポーン」

 玄関でインターホンが鳴ると、クロは玄関に向かって走っていった。玄関を開けると、山下君が立っていた。

星野君 「お、早かったね」

山下君 「うん。ちょっと寄り道して買い物するつもりだったんだけど、定休日だったみたいで」

星野君 「ま、取りあえず上がってよ」

 山下君はクロをひょいっと抱えると部屋に入っていく。

星野君 「昨日、新しくFlashゲーム完成させたんだけどやってみない?」

山下君 「おっ。いいねぇ。どんなの?」

星野君 「ま、カンタンなやつなんだけどさ。まずね……」

 星野君は山下君にゲームの内容の説明を始めた。ルールは至って簡単なものだ。プレーヤーは自分のキャラクターに対して能力を設定し、敵と戦闘する。戦闘を重ねて経験値がたまるとレベルが1つずつ上がっていく。敵には、デフォルトで用意されている敵データと、ほかのユーザーが登録したデータとの2種類がある。これらの敵との戦闘に勝利していくことで自分のランクが上がっていくというものだ。

山下君 「へぇ〜。また凝ったもの作ったね。ちょっとだけやってみる〜。クロ、おいで〜」

 山下君は、クロをひざに乗せると星野君が作ったゲームをやり始めた。クロはなぜだか山下君にとてもなついている。飼い主である星野君にはいまだにまったくなついてくれず、ひざの上に乗ってきたことなど一度もない。あそこまでべったりなついていると、飼い主としてなんだかやるせない気持ちになってしまう。なんとか、クロの気を引こうと頑張ってみるものの、クロは山下君にご執心で、星野君のことなどまったく気にも留めないようだった。

山下君 「これって、昨日作ったゲームっていってたよね!?」

星野君 「え?うん。そうだけど……?」

山下君 「そうなんだぁ。それにしちゃ、上位ランクの人たちがあり得ない数字たたき出してるみたいだけど……」

星野君 「え?うっそ??」

 星野君がランキングデータを確認してみると、レベルが1000を超えているデータが上位にランクインしていた。いくら頑張っても、1日で50までレベルを上げるのがやっとのはずだ。しかも、ランキング1位のキャラクターには、レベル1000の強豪たちを凌いでレベル1のキャラクターが君臨している。

星野君 「えぇっ!これ絶対何かおかしい……」

山下君 「データを書き込む部分にバグがあるんじゃない?」

星野君 「その部分は、前に作ったゲームで使ってたやつをそのまま持ってきてるだけだから、特に新たなバグがあるとは思えないんだけどなぁ……」

山下君 「じゃあ、どこかで書き換えられてるとかじゃない?」

星野君 「Flashの中でデータをやりとりしてるから、外からは見えないと思うんだけどなぁ」

山下君 「パケットとか眺めてれば見えちゃうんじゃない?ねー、クロ♪」

クロ 「にゃにゃー」

 山下君はクロと戯れ始め、星野君の話を半分しか聞いていないふうであった。だが、この一言で星野君は気が付いた。

星野君 「(そうか……。これもWebアプリケーションなんだから、検査補助ツールを使えば通信内容を見られるのかも……)」

 Flashを利用していると忘れがちだがHTTPで通信を行っているので、ほかのコンテンツと同様、検査補助ツールで通信をインターセプトすることが可能である。

ランキングデータを確認する星野君

 サーバ側のWebアプリケーションはだいぶ昔に作ったものだ。新しくFlashでゲームを作るときも、昔に作ったFlashから流用しているだけ。当然、サーバ側のWebアプリケーションは汎用的に作られているのだが、汎用的な分、セキュリティをまったく考えてない作りになっていたような記憶が微かにあった。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  6. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  7. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  8. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  9. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  10. CrowdStrike、約850万台のWindowsデバイスで発生したブルースクリーン問題を謝罪 原因と対処法を公開
ページトップに戻る