日本のモバイルゲームTop 100セキュリティレポートについて

分析対象および環境

• Google Play Japanの最高売上上位100のゲーム (2017年7月末日時点)
• Android 4.4 ~ 6.xの機器とPC用Emulatorを使用し、分析実施
• 代表的なモバイルゲームチートツール7つと動的/静的分析ツールを使用
• ルート化機器での実行を許容しないゲームの場合、一部分析テストケースから除外

分析結果

(1) 使用されているゲームエンジン

• 100タイトルのゲームのうち41個がUnity、29個がCocos2dx、残り30個がその他のエンジンを使用
• ゲームエンジンが確認できないタイトルは、自社開発エンジンやUnrealなどが使用されていると推定

(2) ルート化機器のゲーム実行

• 18個のゲームがルート化機器を検知する機能を搭載。ただし、そのうち2タイトルはルート環境を検知した場合でもユーザー同意の下ゲームの実行を許容
• ルート化機器検知機能が提供されていないゲームとユーザー同意の下ルート化機器で実行されるゲームを合わせると、81個のゲームがルート環境でのゲーム実行を許容

(3) チートツール防御

• チートツール検知機能を搭載したゲームは7個だが、そのうち4タイトルは権限制御アプリを利用し、検知機能の無力化が可能
• 結論的に3タイトルのみがチートツールを防御

(4) コード解析防御(動/静的解析)

• Javaコード保護のため難読化ツールを適用：21タイトル
• ランタイム時にゲームコードの獲得を試す行為に対する防御を適用：6タイトル
• ゲームロジックが含まれたDLLやSOに対する保護を適用：3タイトル
• 上記すべての防御ロジックが適用されているのは1タイトルのみ

(5) APK改ざん防御

• DEXファイルに対する改ざん検知ロジックを適用：19タイトル
• SOファイルに対する改ざん検知ロジックを適用：7タイトル
• DLLファイルに対する改ざん検知ロジックを適用：5タイトル
• 上記すべての改ざん検知ロジックが適用されているのは1タイトルのみ

まとめと注意事項

• テスト対象ゲームのほとんどは、一部ハッキング行為にのみセキュリティロジックを適用
• 特定モジュールに対する保護に集中するよりは、攻撃可能なすべてのケースに対しセキュリティロジックを適用する方がハッキング行為の防御に効果的