【非SSL認証】他のゲームもいくつか調べてみたのでまとめ(8/26更新)【BM】

ゲーム名 メーカー SSL 安全さ SSL強度 対応予定
アンジュ・ヴィエルジュ
SEGA/f4 Samurai
なし
F
-
ボーダーブレイク mobile -疾風のガンフロント- SEGA/f4 Samurai なし F
-
オルタンシア・サーガ -蒼の騎士団- SEGA/f4 Samurai なし
F
-
戦艦少女R
上海幻萌网络科技有限公司
なし
E
- あり
戦艦帝国
COOL FACTORY
なし
E
*.coolfactory.jp

DMM のゲームほとんど
艦隊これくしょん-艦これ- 角川ゲームス
なし
D
-
FLOWER KNIGHT GIRL YourGames
なし
D
-
千年戦争アイギス DMM GAMES
なし D
-
文豪とアルケミスト DMM GAMES なし
D
刀剣乱舞 DMMゲームズ/ニトロプラス
なし D
-
ガールフレンド(仮) サイバーエージェント・Ameba
ユーザーはSNS認証
C
RC4/MD5
セッションハイジャック可能
Ameba ふぁーみー サイバーエージェント・Ameba
ユーザーはSNS認証 C
RC4/MD5
セッションハイジャック可能
白猫プロジェクト コロプラ 一部 B
OK
バトルガールハイスクール コロプラ
一部
B
OK
アイドルマスター シンデレラガールズ スターライトステージ バンダイナムコ
一部
A
OK
ミス・モノクロームGo!Go!スーパーアイドル PREAPP PARTNERS, K.K. あり
(データは非SSL)
A- *.contents.work
SSL3(POODLE)
RC4_128_MD5
RC4_128_SHA
3DES_EDE_CBC_SHA
SUPER MARIO RUN 任天堂

あり A- *.baas.nintend.com
*.supermariorun.com
amazonaws.com
OpenSSL Padding Oracle vuln. (CVE-2016-2107)
グリモア~私立グリモワール魔法学園 Applibot あり A grimoire-*.elb.amazonaws.com
grimoire.*.sh
RC4_128_SHA

駅メモ mobilefactory あり A RC4/MD5/CBC/3DES
ekimemo.com
シンフォギアXDアンリミテッド
ポケラボ あり A RC4/MD5
adjust.com

マギアレコード 魔法少女まどか☆マギカ外伝 アニプレックス/f4 samurai あり S OK
*android.magi-reco.com
cloudfront.net
どこでもドラクエモンスターズ スクエニ あり S
シャドウヴァース Cygames あり S
ゆるドラシル クローバーラボ あり S
SINoALICE スクエニ/ポケラボ あり S
ぷよクエ SEGA/株式会社オーツー あり S
ブレイブリーアーカイブ スクエニ あり S
ガールズ&パンツァー戦車道大作戦 showgate あり S
アイドルマスターミリオンライブ! シアターデイズ バンダイナムコ あり S OK
api.uca.cloud.unity3d.com
cloudfront.net
theaterdays.appspot.com
1e100.net
パズドラ ガンホー あり S OK
*.padsv.gungho.jp
amazonaws.com
3DES_EDE_CBC_SHA  / DH1024
鋼鉄のワルツ What's up Game Labo 独自暗号 S 46704  Port
*.metalwaltz.com
amazonaws.com
8月のシンデレラナイン Akatsuki×KADOKAWA あり S
ポケモンGo ナイアンティック/株式会社ポケモン あり S OK
googleapis.com
*.nianticlabs.com
FateGrandOrder アニプレックス/TYPE-MOON あり S OK
*.fate-go.jp
cloudfront.net

遊戯王 デュエルリンクス KONAMI あり S OK
*.mo.konami.net
iijgio.jp

F…パスワードすらなし E…コピペで乗っ取り D…セッション乗っ取り
C…セッション有、乗っ取りは難しい B…自前の簡単な暗号化
A…自前の複雑な暗号化
 S…安全
注:安全な暗号使ってるかはチェックしてません(後で
POODLEとかSSL3も調査します)

アンジュ・ヴィエルジュ

・端末を一瞬借りるだけでショルダーハッキングも可能!
・暗号化なし
・固有ID垂れ流し(パスワードすら使っていません!)
・完全乗っ取りやデータの破壊が可能

・ほんとに超大手?
・「ボーダーブレイク mobile -疾風のガンフロント-」とシステムが完全に同じ

 

白猫プロジェクト

・暗号化なし(最初の認証だけ暗号化っぽいけどセッションのっとれそう)
・ハッシュを一応かけてるけど、ソルトなしなので1日かければ復号できそう。
パスワードの再発行は暗号化なし
・他は解析が簡単。ゲームデータ改ざんされてアカウント販売されてるの当り前
・ほんとに大手?
・たぶん「黒猫のウィズ」、「白猫テニス」も同じ?
・「ハイスクールバトルガールズ」は全く同じ

調査希望があればコメント書いてもらえれば調べてみます

おすすめ

50件のフィードバック

  1. 名無し より:

    ぷよぷよクエスト(ぷよクエ)は確か、何年か前の記事で問題提起されてませんでした?
    その当時からなにも変わってない?

  2. 名無し より:

    ぷよぷよクエスト(ぷよクエ)は確か、何年か前の記事で問題提起されてませんでした?
    その当時からなにも変わってない?

  3. 黒翼猫 より:

    よく見てください。ぷよクエは安全だったって結果書いてますが

  4. 黒翼猫 より:

    よく見てください。ぷよクエは安全だったって結果書いてますが

  5. Shun より:

    パズドラ
    星のドラゴンクエスト
    BRAVELY DEFAULT FAIRY’S EFFECT(BDFE)
    ブレイブリーアーカイブ D’s report(ブレアカ)
    シャドウバース (Shadowverse)
    辺りも気になります

  6. Shun より:

    パズドラ
    星のドラゴンクエスト
    BRAVELY DEFAULT FAIRY’S EFFECT(BDFE)
    ブレイブリーアーカイブ D’s report(ブレアカ)
    シャドウバース (Shadowverse)
    辺りも気になります

  7. 名無し より:

    あ、Scrollせずに判断してましたわ。失礼しました。

  8. 名無し より:

    あ、Scrollせずに判断してましたわ。失礼しました。

  9. いか より:

    駅メモ(アプリ版 モバイルファクトリー)
    8月のシンデレラナイン(Akatsuki)
    こちらのゲーム、お願いできますか?

  10. いか より:

    駅メモ(アプリ版 モバイルファクトリー)
    8月のシンデレラナイン(Akatsuki)
    こちらのゲーム、お願いできますか?

  11. teri-nu より:

    シンフォギアXDアンリミテッド
    ガールズ&パンツァー戦車道大作戦
    あたりも気になります
    よろしくおねがいします

  12. teri-nu より:

    シンフォギアXDアンリミテッド
    ガールズ&パンツァー戦車道大作戦
    あたりも気になります
    よろしくおねがいします

  13. 匿名 より:

    フラワーナイトガールの調査お願いします

  14. 匿名 より:

    フラワーナイトガールの調査お願いします

  15. 鉄人(´・👄・`) より:

    “ファーミー”(アメーバ サイバーエージェント)と、“ガールフレンド(仮)”(サイバーエージェントの子飼い社のCygames)も
    気になります。
    もし良かったらお願いしますm(_ _)m

  16. 鉄人(´・👄・`) より:

    “ファーミー”(アメーバ サイバーエージェント)と、“ガールフレンド(仮)”(サイバーエージェントの子飼い社のCygames)も
    気になります。
    もし良かったらお願いしますm(_ _)m

  17. 黒翼猫 より:

    フラワーナイトガールはDMMなので艦これと同じ非SSLです

  18. 黒翼猫 より:

    フラワーナイトガールはDMMなので艦これと同じ非SSLです

  19. ※7 より:

    返信ありがとうございます。
    つまり dmmgamesで配信しているゲームは大元のdmmが対策を取らない限りセキュリティの問題は根本的には解決しない という認識でよいでしょうか。
    また、刀剣乱舞と他dmmゲーで多少評価に差がありますがゲーム開発側でも多少は対策を取る事が可能、という事なのでしょうか。

  20. ※7 より:

    返信ありがとうございます。
    つまり dmmgamesで配信しているゲームは大元のdmmが対策を取らない限りセキュリティの問題は根本的には解決しない という認識でよいでしょうか。
    また、刀剣乱舞と他dmmゲーで多少評価に差がありますがゲーム開発側でも多少は対策を取る事が可能、という事なのでしょうか。

  21. 黒翼猫 より:

    dmmが対策を取らない限りセキュリティの問題は根本的には解決しませんが、
    独自にIPアドレス認証などを使い、ゲームのベンダー側で対応することは可能だと思います
    ただ、どこもそんなの気にせずAPIに任せていたため、対応していない状況だと思われます

  22. 黒翼猫 より:

    dmmが対策を取らない限りセキュリティの問題は根本的には解決しませんが、
    独自にIPアドレス認証などを使い、ゲームのベンダー側で対応することは可能だと思います
    ただ、どこもそんなの気にせずAPIに任せていたため、対応していない状況だと思われます

  23. 煮水 より:

    バンダイナムコ(バンダイナムコスタジオ製)の、アイドルマスターミリオンライブ シアターデイズ
    (https://play.google.com/store/apps/details?id=com.bandainamcoent.imas_millionlive_theaterdays)
    も調査していただけませんか。
    スターライトステージと開発元が異なるため気になります。

  24. 煮水 より:

    バンダイナムコ(バンダイナムコスタジオ製)の、アイドルマスターミリオンライブ シアターデイズ
    (https://play.google.com/store/apps/details?id=com.bandainamcoent.imas_millionlive_theaterdays)
    も調査していただけませんか。
    スターライトステージと開発元が異なるため気になります。

  25. 萌えミリ好きな一般人 より:

    鋼鉄のワルツをお願いしたいです
    (可能ならばスマホ版だけでなく、steam版も

  26. 萌えミリ好きな一般人 より:

    鋼鉄のワルツをお願いしたいです
    (可能ならばスマホ版だけでなく、steam版も

  27. KING より:

    恐縮ですが、MinecraftやIngress(ポケモンGO)はどうでしょうか?
    対象外でしたら大変申し訳ございません。

  28. KING より:

    恐縮ですが、MinecraftやIngress(ポケモンGO)はどうでしょうか?
    対象外でしたら大変申し訳ございません。

  29. KING より:

    追加になってしまって大変失礼なのですが
    ヤマダゲーム
    ttp://gpf.mymd.jp/pc/index.php
    は調査可能でしょうか?
    問題ありましたら重ね重ね大変申し訳ございません。

  30. KING より:

    追加になってしまって大変失礼なのですが
    ヤマダゲーム
    ttp://gpf.mymd.jp/pc/index.php
    は調査可能でしょうか?
    問題ありましたら重ね重ね大変申し訳ございません。

  31. 黒翼猫 より:

    コミケの申し込み期限が今日なので作業のため
    確認が遅れますがご了承ください

  32. 黒翼猫 より:

    コミケの申し込み期限が今日なので作業のため
    確認が遅れますがご了承ください

  33. ななし より:

    DMM以外のグラブル(chrome、yahoo、スマホ、DeNA)
    チェインクロニクル
    スーパーロボット大戦X-Ω
    さんぽけ 三国志大戦ぽけっと
    コードオブジョーカーポケット
    お時間があればお願いします

  34. ななし より:

    DMM以外のグラブル(chrome、yahoo、スマホ、DeNA)
    チェインクロニクル
    スーパーロボット大戦X-Ω
    さんぽけ 三国志大戦ぽけっと
    コードオブジョーカーポケット
    お時間があればお願いします

  35. みけCAT より:

    「ミス・モノクロームGo!Go!スーパーアイドル」お願いします。
    もうすぐサービス終了のようですが、品質が微妙な気がするので。
    ついでに「Super Mario Run」もお願いします。
    有名なので。

  36. みけCAT より:

    「ミス・モノクロームGo!Go!スーパーアイドル」お願いします。
    もうすぐサービス終了のようですが、品質が微妙な気がするので。
    ついでに「Super Mario Run」もお願いします。
    有名なので。

  37. 龍泉 より:

    戦艦帝国
    グリモア
    遊戯王デュエルリンクス
    もお願いしたいです

  38. 龍泉 より:

    戦艦帝国
    グリモア
    遊戯王デュエルリンクス
    もお願いしたいです

  39. KING より:

    ポケモンGOありがとうございます。
    余談である上ゲームではありませんが、co*ic*のログインサーバーをSSL Labsで見たところFランクでした。

  40. KING より:

    ポケモンGOありがとうございます。
    余談である上ゲームではありませんが、co*ic*のログインサーバーをSSL Labsで見たところFランクでした。

  41. KING より:

    タイトルが多くて心苦しいのですが
    お時間が取れる場合でいいので以下のタイトルを検討していただけませんしょうか?
    「初音ミクぐらふぃコレクション なぞの音楽すい星」
    「Deemo」などのRayark社のゲーム
    「Plague Inc. -伝染病株式会社-」
    「リネージュ2 レボリューション」
    「バンドリ!ガールズバンドパーティ!」
    「乃木恋~坂道の下であの日僕は恋をした~」
    「崩壊3rd」
    「ラブライブ!スクールアイドルフェスティバル」
    大変申し訳ございません。よろしくお願い致します。

  42. KING より:

    タイトルが多くて心苦しいのですが
    お時間が取れる場合でいいので以下のタイトルを検討していただけませんしょうか?
    「初音ミクぐらふぃコレクション なぞの音楽すい星」
    「Deemo」などのRayark社のゲーム
    「Plague Inc. -伝染病株式会社-」
    「リネージュ2 レボリューション」
    「バンドリ!ガールズバンドパーティ!」
    「乃木恋~坂道の下であの日僕は恋をした~」
    「崩壊3rd」
    「ラブライブ!スクールアイドルフェスティバル」
    大変申し訳ございません。よろしくお願い致します。

  43. saa より:

    マギアレコードのシステム記事を読んだ後に見たのですが、オルサガの認証を流用と書いてましたが安全さは違うのですか?
    プログラミングを知らないのでその辺りがよく分かりません…
    長文失礼しました。

  44. saa より:

    マギアレコードのシステム記事を読んだ後に見たのですが、オルサガの認証を流用と書いてましたが安全さは違うのですか?
    プログラミングを知らないのでその辺りがよく分かりません…
    長文失礼しました。

  45. 黒翼猫 より:

    オルサガはhttpなのでネットワークを傍受すれば見えます。
    マギレコはssl を使ってるので、通常のネットワークでは見えませんが
    マルウェアや関連サーバーへの攻撃で生の認証コードがバレル可能性があります。
    わかりやすい例で言うとパスワードとidを連結した文字列をユーザーidとして使って、
    別の提携サービスにもそれをそのまま送信し、生のデータを保存してるような感じですね

  46. 黒翼猫 より:

    オルサガはhttpなのでネットワークを傍受すれば見えます。
    マギレコはssl を使ってるので、通常のネットワークでは見えませんが
    マルウェアや関連サーバーへの攻撃で生の認証コードがバレル可能性があります。
    わかりやすい例で言うとパスワードとidを連結した文字列をユーザーidとして使って、
    別の提携サービスにもそれをそのまま送信し、生のデータを保存してるような感じですね

  47. MT88 より:

    追加してすみませんが、
    ソラヒメ はどうなんでしょう
    原産が国外系列はなんだか緩そうなんで心配です。

  48. MT88 より:

    追加してすみませんが、
    ソラヒメ はどうなんでしょう
    原産が国外系列はなんだか緩そうなんで心配です。

  49. saa より:

    返信ありがとうございます、分かりやすい例で理解できました!

  50. saa より:

    返信ありがとうございます、分かりやすい例で理解できました!

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です