【CEDEC 2017】ゲーム開発者向けのセキュリティコンテストが開催！

システムアセスメント部の山崎です。

パシフィコ横浜にて開催されたCEDEC 2017で、9月1日（金）に、『SECCON 2017 x CEDEC CHALLENGE ゲームクラッキング＆チートチャレンジ』のセッションが開催されたので参加して来ました。このセッションは、ゲームのセキュリティが如何に分析・突破されるのか、その対策はどのようにすべきかをテーマとしたものです。

セッションに先駆けておこなわれた、チート手法を競う競技大会

セッションに先駆けて、8月1日（火）～15日（火）にチート手法を競う競技大会がおこなわれました。これは、SECCON運営チームが作成した、競技用のオリジナルゲームを解析して、セキュリティを突破する技術を競う内容でした。運営からは、達成すべき条件が明確に示された、エクササイズ用のゲーム2本（HelloWorld、Climb Up）と、問題点を自ら見つけてその対策手法も盛り込んだプレゼンの作成が必要となるメインのゲーム（CHUNI MUSIC）の、計3本のゲームが競技参加者に渡されました。これらの解析結果をまとめたプレゼンが審査された結果、40チームを超える参加希望チームの中から、チーム「Harekaze」が優勝者として、CEDECで講演する栄誉を与えられました。

※問題ファイルは、9月5日現在、以下のURLより入手することができます。

CEDEC 2017のセッション

CEDEC 2017のセッションでは、SECCON実行委員長の竹迫良範氏よりSECCONの全体像の話があり、その後、実行委員の愛甲健二氏より今回の競技内容が説明されました。続いて優勝者のプレゼンがおこなわれました。

優勝チームの方々は、30分という時間枠の中、90ページを超えるプレゼンを話されていたので、話が盛りだくさん過ぎた感はありました。しかしながら、彼らが、ゲームのバイナリや設定ファイル、通信を改ざんするなど、様々な手法を駆使して、ゲームをチートしていく様をまざまざと感じることができました。

優勝チームのプレゼンは、以下のCEDEC公式サイトにて公開されています。
（メールアドレスと氏名を登録する必要がありますが、無料で閲覧することができます。）

優勝チームのプレゼンの後は、最後に、審査員の杉山俊春氏が一般的なチート手法とその対策についてプレゼンされました。メモリを書き換えてスコアをチートする様子などを見せられ、聴講者からはホーッという声も上がっていました。CEDECはゲーム開発者の参加が多いため、ふだんセキュリティのことを主に考えているという方は少なそうでしたが、チートの対策、ひいてはセキュリティの必要性を意識するきっかけとなる良いセッションであったと感じました。講演者の方の、守るためには攻める側の手法も知らなくてはならない、という言葉も胸に響きました。

ゲームセキュリティに興味のある方は、ぜひ来年の競技会への参加を検討いただければと思います。