1. 艦隊これくしょんの通信が
とてもじゃないけど見てられない
ぎんしゃり†
†冬アニメはのうりん推し

2. 突然ですが
• 艦隊これくしょん、流行ってます。
• ただ、どうも設計がテキトーです。
• 特にセキュリティ面でびっくりする
ぐらいヤバいです。
2

3. どれぐらいヤバいの？
• 例えば会社や学校の回線でプレイす
ると、
• いつの間にか艦娘すべて解体される
かもしれないぐらいヤバいです。
– ネットワーク管理者がやる気になればごく簡
単にできます。
• もちろん不正アクセス禁止法で捕まりますが。
3

4. なんでヤバいの？
• データの整合性を確認してない。
• その上ユーザの確認が緩すぎる。
4

5. もっと具体的には？
• ちょっと長くなります。
• 要点だけここに書きますね。
– トークンが常に送信されっぱなし
– シグネチャが付けられていない
– HTTPSを使っていない
• こんな感じです。
5

6. 通信を見てみよう
近代化改修の通信
ココが問題
6

7. もいっこ
ALL30建造
ずっとHTTP通信
さっきと同じ！
7

8. つまりどういうこと？
• 艦これの通信は常に丸見え状態！
• 他人がなりすますのに必要な情報を
毎回送信！
• なりすます手間すら全く不要！！
• こんな通信があっていいのか！
8

9. 他人は何ができるの？
• プレイヤーが艦これで行っている全
てが他人から実行可能です
• 例えば
– 資源ALLで大型建造
– 艦娘を鍵外して解体
– その他通常の出撃や演習・遠征も
9

10. 何ができないの？
• 通常できないことはできません
• 例えば
– 艦娘のデータを直接書き換える
– 資源を無限増殖させる
– HP減らないなどのチート
– …などはできません。
10

11. （運営は）どうすればいいの？
• 最善策
– とりあえず全部の通信をHTTPSにする
• 現状、通信が全部ハガキに書かれているよ
うなもので、誰からも見えてしまっていま
す。HTTPSは封筒みたいなもので、入れて
しまえば他人から読めなくなります。これ
さえすればまず安全です。
11

12. ちょっとコストが…
• せめて通信に乗せないトークンを
作って署名を生成しよう
– シークレットトークン。直接通信に出てこな
いので、これから生成した署名は他人が偽造
することはできません。
• 例えばフォームデータとトークンとナンス
を連結してハッシュを取る、とかで十分。
– シークレットトークンの共有はどうする？
• そこはHTTPS使ってもらわないと。
• 結局一箇所はHTTPS使わないとだめだよ。
12

13. 何をムキになってんの
• 悪意のある人間が現れた場合、我々
プレイヤーのデータが壊されます。
• 明日になれば自分の艦娘が丸ごとい
ないかもしれない、そんな環境の
ゲームを放置できるはずがないで
しょう。
13

14. セキュリティっぽく言ってくれ
• リプレイ攻撃や中間者攻撃という言
葉を知らないんじゃないかと思うよ
うな実装です
• お願いだからこんな通信しないで下
さい
14