代表の小竹（aka tkmru）です。 先日のしゃぶ葉での出来事です。キッチンから私の席へ運ばれてくるはずの六穀豚が、配膳ロボの移動中にいつの間にか別のテーブルの人に取られていた—— しゃぶ葉にてサーバ（キッチン）とクライアント（客席）間で中間者攻撃が…

代表の小竹（aka tkmru）です。 本記事は、先日公開した 「1日1回限定のガチャ」を20連できてしまう ― ゲームAPIで頻出するTOCTOU脆弱性と対策 に続く、ゲームAPIの脆弱性シリーズの第2弾です。 tech-blog.sterrasec.com 元ネタは、2026年3月19日に開催され…

代表の小竹（aka tkmru）です。 2026年3月19日に開催された勉強会「TECH BATON in 東京 〜ゲームアンチチートに学ぶ セキュリティ設計と攻防の舞台裏 〜 - connpass」にて、「10分で知る ゲームが『チートされる』仕組み 〜通信・API・メモリから見る攻撃と…

代表の小竹（aka tkmru）です。 「Googleでログイン」などのソーシャルログインは、今やWebサービスの標準機能です。 この機能は一般的に、認可の仕組みであるOAuthの上に、ユーザーの身元確認を行うためのOpenID Connect（OIDC）というプロトコルを重ねるこ…