JOGA,JSSEC共催 「スマートフォン・オンラインゲームのセキュリティを考える」の報告

60 views
Skip to first unread message

Reiki Hattori

unread,
Nov 18, 2011, 1:08:59 PM11/18/11
to android-sec...@googlegroups.com
鯖缶です。

11月17日(木) 13:30~18:00の日程でJOGA,JSSEC共催で
「スマートフォン・オンラインゲームのセキュリティを考える」のイベント
に参加して来ましたので、非常に簡易ではありますがご報告致します。

タイトルの通り、スマートフォンによるオンラインゲームを実現した際、
どのようなセキュリティが必要なのかという観点で主に発表されて
いましたので、私にはやや馴染みの無い部分であるため、かなり聞き
逃している点があることをご容赦くださるようお願い致します。


○JSSEC:「スマートフォンの製作現場から」
  シャープ株式会社 重田 大助氏

 Androidカーネル部分を主に開発されています重田様が発表されました。
 細かな部分については覚えておりませんが、細かなひとつひとつのパーツ
 では仕様であるが、複合された場合にセキュリティ上問題になるケースが
 過去あったと述べられた点が、改めて実感させられました。

 重田様の個人的な感想ではあるのですが、Androidで互換性に問題がある
 端末は市場で淘汰されるだろうと想定されている点が興味深い。
 更に、フィーチャーフォンではキャリアとだけの付き合いだったが、Android
 ではJSSECを含め各分野のいろいろな人と話す機会が増え、勉強になって
 いると仰っている点が、なるほどと思うと共に共感しました。


○JOGA:「オンラインゲーム、スマートフォンゲームにおけるハッキングとセキュリティの現状」
  NHN Japan 株式会社 取締役 泉原 克人氏

 スマートフォン以前では、PCにはハッキングリスクがあり、スマートフォンには
 プライバシーリスクがある点が、新たに異なる点。

 ハッキングリスクには
  RMT(Real Money Trade)問題、ゲームプログラムのチート(不正改竄等)、
  ゲームのボット化(自動プレイスクリプト等)、アカウント盗用、クレジットカード
  の不正利用があるとのこと。

 プライバシーリスクには
  個人アドレス帳にアクセスする等、許諾させる部分が該当するとのこと。
  どういった内容を何のために利用しているのかをユーザに明確に提示する
  ことが重要であると考えている。


○JSSEC:「Android セキュアプログラミング」
  ソニーデジタルネットワークアプリケーションズ株式会社 松並 勝氏

 開発者が少なかった為、概要が中心となりました。
 情報保護を行うのはアプリの仕事
 アプリをとりまく様々な攻撃を想定してアプリを作る必要がある点を強調。
  攻撃種類:個人情報を狙う悪意ある第三者、悪意あるユーザ(アプリ改造等
  を主に想定)、マルウェアをうっかりインストールするユーザ、ネットワーク上
  でのスニッフィングやクラウド先等の攻撃

 アプリ開発者の責務として、自分のアプリは自分で守る点と、他のアプリに
 迷惑を掛けないように配慮する点。

 Androidアプリのセキュア設計・セキュアコーディングガイドを作成するべく、
 JSSECにセキュアコーディングタスクフォース設立し11月から活動開始予定。


○JOGA:「オンラインゲーム、スマートフォンゲームのJOGAセキュリティシステムについて」
 サードネットワークス株式会社 代表取締役社長 雨宮 正明氏

 主に現行PC向けオンラインゲームに対しては、ワンタイムパスワード認証の
 システムを導入し、各社の認証部分を共同で運営しているとのこと。
 PC向けでは1ヶ月で1社に対して20万件ものリスト攻撃(他から漏えいしたIDとパスワード
 を利用してログインを試みる攻撃手法)があることも。

 スマートフォンについては、開発中であるため詳細についてはまだ公開できない
 とのこと。


○JSSEC:「JSSECにおけるアプリケーションセキュリティの取り組み
     ~個人情報の扱いについて考える~」
  KDDI株式会社 竹森 敬祐氏

 パーミッションを設定する際(特に広告モジュール等)は、アプリのシナリオの中で許諾を
 行う方向にして欲しい。
 IPv6になった場合、全ノードがグローバルな接続性を持ち、直接接続が可能になるため、
 IPv6のアドレスそのものが個人情報に変化するものと想定している。

 個人情報を収集するアプリの場合、以下の点に注意してください。
  どんな情報を収集するのかを明確にユーザに対して提示する。
   (SDK等を組み込んでいるだけなので不明というのはダメ)
  許諾内容をヘルプに持っていくはダメ
  同意する・同意しないの2つのボタンがあること。
  一般の第三者が読んで理解できる用語で、何を収集しているかを明示すること


以上

かねひさ

unread,
Nov 18, 2011, 10:08:07 PM11/18/11
to android-sec...@googlegroups.com

鯖缶さんへ

報告ご苦労様です。

内容がよくわかってとてもいいです。

これからもよろしくお願いいたします。

- - - JAG4かねひさ

2011/11/19 3:09 "Reiki Hattori" <ley....@gmail.com>:
--
このメールは「Android セキュリティ部」のメンバーに送られています
Android セキュリティ部 サイト http://android-security-japan.mns.me
このグループにメールで投稿: android-sec...@googlegroups.com
当グループのページ http://groups.google.com/group/android-security-japan?hl=ja?hl=ja
Reply all
Reply to author
Forward
0 new messages