現行で認証方法が最凶最悪な、f4 samurai + SEGA の3大ゲームを紹介します

【非SSL認証】他のゲームもいくつか調べてみたのでまとめ
ゲームの認証方法がセキュリティ的に酷いゲームの TOP 3 をf4 samuraiさん + SEGA さん のコンビで作った3つのゲームが独占しましたので、紹介しようと思います ・ω・

ボーダーブレイク mobile -疾風のガンフロント- | 基本プレイ無料のカード育成RPGゲーム
【公式】アンジュ・ヴィエルジュ~ガールズバトル~
オルサガ【公式】オルタンシア・サーガ-蒼の騎士団-

まず、これらのゲーム、インストールするとUUIDが発行され Android 端末の中に次のファイルが作成されます

com.sgn.f4.ange.txt (アンジュ)
jp.f4samurai.bb.android.txt (ボーダーブレイク)
USER_ID_FBA9X88MAE (オルサガ)

中はどれも36バイトのテキストファイルで UUIDが記録されています
これ、実は固定のユーザー識別子になります。

Screenshot_20170822-140925
こんな感じ

Screenshot_20170822-140837
ゲームを起動してみます

ors
生のHTTPで通信していて、さっきのユーザーIDが USER_ID_FBA9X88MAE と言う変数名で流れてるのがわかります。
これ、ボーダーブレイクも 第2風紀委員 ガールズバトル もおなじような感じになります。

ID位いいじゃないかって?

いいえ、このIDを 取り出して、別のAndroid のルートフォルダに同名のファイルを作って アプリをインストールしてから起動すると、別マシンで完全プレイできるのです。

一応これらのゲーム、複数台でプレイするのは禁止されていて、するとBAN対象になるのですが、「ゲームでずるをしている」と言うよりは、致命的なセキュリティーホールなのが発覚しないように、誤魔化すために禁止にしているように見えます。

別マシンで起動した後、アカウントの以降をやってしまえば簡単に乗っ取ってしまえますし、newゲームで起動すると、このアカウントとidを切り離して、データを破棄することもできると言うお粗末な認証方法です。
正直認証と呼ぶのもお粗末なレベルです。

ゲーム開発会社のf4 samurai さんの開発力不足かと思ったのですが、アニプレクスさんから受けて作った マギアレコードがまともなつくりになっているのを見ると、 発注した、 SEGA さんが セキュリティ 要綱に触れずに 丸投げして、作られたためいい加減なつくりになってるんじゃないかと思います。

【非SSL認証】他のゲームもいくつか調べてみたのでまとめ
もちろん、これみたらわかるように、単に、アニプレックスさんが FGO のソースを f4 samurai さんに渡して、作らせたから、マギアレコード 魔法少女まどか☆マギカ外伝 が FateGo のほとんどそのままのパクリゲー でリソースだけ f4 samurai さん にいじらせただけで、技術的な知識は要らなかったため、FGOと同じレベルのセキュリティのまともな物になっている可能性もあるわけですが ・ω・ (サーバーも同じ系列ですしね)
マチガイでした

まぁ、よくまぁこんな酷いシステムで何年も運用してるものです

ユーザーは
・絶対に 安全ではないネットワークではゲームをしてはいけない
・信頼できない機器にUSBで接続しない(USB経由でもユーザー固有識別子が生のテキストで保存されているため簡単に盗聴する事が可能です)

開発は
・アプリのネットワークアルゴリズムに無駄があって、サーバーに負荷かけてユーザーが何年も文句言ってるのに改善しないんだから、最低限の認証くらいやるべき。
・はやくSSLにする

SNS見ると、これらのゲームも、2年位前から、アカウント乗っ取られた人がいるようなので、ちゃんと注意喚起すべきだと思いました ・ω・

KADOKAWAは、トレーディングカードゲーム(TCG)「アンジュ・ヴィエルジュ」について、2017年4月をもって、新たなTCGおよびTCG関連の商品展開を休止することを発表した。
まさか、サービス終了する予定だから、費用対 効果考えて、セキュリティ対策長らく怠ってきたとか言わないよね?SEGAさん

#前、非SSL通信についての要望は運営に出していたのですが、今のところ反応ないです ・ω・
#ブログでユーザーに注意喚起を行った旨を開発会社に連絡しました

おすすめ

2件のフィードバック

  1. _ より:

    SEGAなの?

  2. _ より:

    SEGAなの?

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です