「スーパーマリオ ラン」に潜むセキュリティ上の課題

 2016/12/20に弊社リサーチ部門バイスプレジデントのアーロン・リントが、任天堂のモバイルデバイス向けゲームアプリ「スーパーマリオ ラン」が公開されたことを受け、このアプリをめぐるセキュリティの懸案事項とオンライン DRM (デジタル著作権管理) の使われ方、さらにはモバイルデバイス向けゲームアプリを安全にプレイするに当たって、最も効果的な方法についてコメントを発表いたしましたので掲載いたします。

 任天堂のモバイルデバイス向けゲームアプリ「スーパーマリオ ラン」が公開されたことを受け、Arxan Technologies のリサーチ担当バイスプレジデント、アーロン・リント氏は、このアプリをめぐるセキュリティの懸案事項とオンライン DRM (デジタル著作権管理) の使われ方、さらにはモバイルデバイス向けゲームアプリを安全にプレイするに当たって、最も効果的な方法について、以下のようなコメントを発表した。

image1

執筆者: Arxan Technologiesリサーチ担当バイスプレジデント アーロン・リント(Aaron Lint)

「今回公開されたスーパーマリオ ランは、任天堂のモバイルデバイス向けゲームアプリの第 2弾で、同社の主要提携先企業との共作となっている。このアプリは特に多数のユーザーがダウンロードすると予想されるので、近いうちに、コードを悪用しようとする攻撃者の主な標的に加わるだろう。
最近のスマッシュヒットである『ポケモンGO』と同様に、マルウェアを拡散するための、改ざんされた偽アプリが登場すると、われわれは予測している。さらに、正規料金の9ドル99セントを払わなくてもいいというふれこみで、このゲームの全機能が無料で使えるように改ざんした、海賊版も出回るだろう。

ただし、このゲームは常にオンラインの DRM (デジタル著作権管理) システムに接続する仕様となっている。言い換えると常時インターネットに接続する必要があるので、攻撃者はなおさら、その制約を破ろうという意欲がかき立てられるかもしれない。アプリのセキュリティは、単純に DRMを使えば十分だ、とは言えないことが明らかになるだろう。
ゲームの海賊版を作らせないために、DRMよりもずっと効果的なアプローチは、コードと暗号鍵を強化して、攻撃者がまずビジネスロジックをバイパスできないようにすることだ。コードの整合性による保護、難読化、ホワイトボックス方式の暗号化などの技法を使って、アプリケーションに機能を実装すると、たとえハッカーがセキュリティの仕掛けをどこか 1つ破ったとしても、その事態に適応し防御できるようになる」

執筆者: Arxan Technologies リサーチ担当バイスプレジデント アーロン・リント(Aaron Lint) 2016年12月6日

原文:Super Mario Run Security Issues