HandyCafe Docs
owner it-admin

セキュリティとアンチチート

HandyCafeには運営者向けのアンチチートおよびクライアントセキュリティシステムが組み込まれています。これは2つの部分で構成されます。検知の監視とBANの管理を行うセキュリティパネルと、クライアントPC上で動作する保護機能を構成するセキュリティ設定ページです。これを使って、クライアントプロセスの保護強化、チートツールやデバッガの検知、ハードウェアフィンガープリントによるデバイスのBAN、リンク済みSteamアカウントのVAC BANチェックを行えます。

セキュリティパネル

セキュリティパネルは3つのタブに分かれています。改ざんイベントHWIDブラックリストSteam VACです。パネル上部のタブをクリックして切り替えます。

改ざんイベント

改ざんイベントタブには、クライアントPCから報告されたアンチチート検知の履歴が表示されます。各行には時刻コンピューター(わかりやすい名前とその下にMACアドレスを表示)、イベントカテゴリ、深刻度、検知内容を平易な言葉で示した説明が並びます。

上部のフィルター行を使ってリストを絞り込めます。日付を選択でき(表示は当日を初期値とし、変更すると再取得します)、カテゴリを選択し、深刻度(重大警告情報)を選択し、コンピューター名またはMACで検索ボックスに入力できます。更新ボタンでイベントを再読み込みします。フィルターの横のカウンターは、読み込まれた総数のうち現在のフィルターに一致するイベント数を示します。

イベントカテゴリにはプロセススキャンウィンドウスキャンドライバースキャンデバッガメモリエディタインジェクターゲームチートバイナリ整合性コード署名DNS監視時刻改ざんなどがあります。選択した日付に検知がない場合、パネルにはこの日付に改ざんイベントはありませんと表示されます。

HWIDブラックリスト

HWIDブラックリストタブには、ハードウェアフィンガープリント(HWIDハッシュ)によってBANされたデバイスが一覧表示されます。テーブルにはHWIDハッシュサンプルMAC理由メモ時刻が表示されます。上部のカウンターはBANの件数を示します。

デバイスをBANするには、HWID BANを追加をクリックします。ダイアログでMAC(AA:BB:CC:DD:EE:FFの形式)、必須の理由、任意のメモを入力し、BANを追加をクリックします。サーバーがMACをデバイスフィンガープリントに解決し、BANを記録します。保存せずにダイアログを閉じるにはキャンセルを使用します。

BANを解除するには、該当行の削除アクション(BANを解除)を使用します。更新ボタンでリストを再読み込みします。BANがない場合、テーブルにはHWID BANはありませんと表示されます。

Steam VAC

Steam VACタブは、リンク済みメンバーのSteamアカウントについて、Steam Web APIを使ってVAC BANをチェックします。

Steam Web APIキーフィールドにキーを入力し、保存をクリックします。ヒントには次のように表示されます。VAC BANの照会に必要です。steamcommunity.com/dev/apikeyから取得してください。

VAC一括スキャンの下にある今すぐスキャンボタンで手動の一括スキャンを実行します。一括スキャンはリンク済みの全メンバーのSteamアカウントについてVAC BANをチェックし、毎日自動で実行されます。今すぐスキャンボタンはSteam Web APIキーが保存されるまで無効です。ステータステキストには前回のスキャン時刻が表示されます。一度もスキャンしていない場合はまだスキャンしていませんと表示されます。

クライアントセキュリティの構成

クライアントセキュリティ設定ページは、各クライアントPCが適用する保護機能を制御します。プロセス保護強化改ざん監視に分かれています。

クライアントセキュリティ保護を有効にするマスタースイッチで、システム全体をオンまたはオフにできます。無効にすると、クライアントはプロセス保護強化を一切適用せず、改ざん監視プローブも実行しません。スイッチの下のバナーには、HandyCafeのクライアント、サーバー、Watchdogの各バイナリは常にホワイトリストに登録されており、保護機能がこれらを検知対象にすることはないと記載されています。詳細なセクションはマスタースイッチがオンのときのみ表示されます。

これは設定のサブページです。変更はセクション内の個別ボタンではなく、ページレベルの保存ボタンで確定します。

プロセス保護強化

プロセス保護強化は、クライアント起動時にプロセスの自己保護ポリシーを適用します。各トグルにはリスクバッジ(低リスク中リスク高リスク)と、機能内容を説明するツールチップが付いています。利用可能なオプションは次のとおりです。

  • メモリ保護(DACL): 自プロセスのDACLを置き換え、管理者でないトークンが読み取り、書き込み、スレッドへのアクセス権を失うようにします。標準的なCheat Engineのアタッチをブロックします。
  • DEP永続化: データ実行防止(DEP)を永続化し、スタックとヒープを実行不可のまま維持します。
  • 動的コードの禁止(高リスク): JITと実行可能領域の確保をブロックします。一部のシステムではGPUドライバーのシェーダーJITが動作しなくなり、画面キャプチャやリモート操作が失敗する場合があります。
  • AppLocker/WDAC署名ポリシー(中リスク): プロセスを既存のAppLockerまたはWDACのバイナリ署名ルールの対象にします。
  • DLLロードフィルター(中リスク): リモートイメージのDLLロードをブロックし、System32を優先し、低整合性のイメージをブロックします。一部のベンダーオーバーレイが動作しなくなる場合があります。
  • AppInit_DLLs / IMEのブロック: AppInit_DLLs、IME、Winsock LSPによるインジェクション経路をブロックします。
  • 厳格なハンドルチェック(高リスク): 不正なハンドル使用時にエラーを発生させます。サードパーティライブラリにハンドル管理のバグがあると、プロセスがクラッシュします。
  • Linux: ptraceのブロック: Linuxで非rootユーザーによるptraceおよびデバッガのアタッチを防止します。
  • macOS: デバッガのアタッチを拒否: macOSで以降のあらゆるデバッガのアタッチを拒否します。

改ざん監視

改ざん監視は、チートツール、デバッガ、インジェクターをランダムな間隔でスキャンするバックグラウンドプローブを実行します。検知された内容は改ざんイベントタブに表示されます。利用可能なプローブは次のとおりです。

  • Cheat Engine / メモリエディタの検知: Cheat Engine、ArtMoney、MHS、ReClassなど、値スキャナー系のプロセスをスキャンします。
  • デバッガ / RE ツールの検知(x64dbg、IDA、Ghidra): リバースエンジニアリングツールを検知します。
  • コードインジェクターの検知(Process Hacker、Scylla): Process Hacker、Scylla、kdmapperなどのコードインジェクターを検知します。
  • ゲームチートブランドの検知(neverlose、aimwareなど): 既知の商用ゲームチートのプロセス名と照合し、それらのドメインに対してDNSルックアップを行います。
  • 不審なドライバースキャン: 脆弱なドライバーの悪用を検知します。注意: RTCore64はMSI Afterburnerでも使用されているため、誤検知が発生する場合があります。
  • アンチデバッグプローブ: 一般的なデバッガ存在チェックAPIやハードウェアブレークポイントを確認します。
  • 実行ファイルの整合性チェック(SHA-256): スキャンごとに自実行ファイルをハッシュ化し、ディスク上での改ざんを検知します。
  • 署名検証(WinVerifyTrust): Authenticode署名を検証します。署名されていないベータビルドではこれを無効のままにしてください。
  • DNSクエリ監視(チートドメインブラックリスト): DNSキャッシュを解析し、既知のチートベンダードメインを検出します。
  • ウィンドウタイトルスキャン: ウィンドウタイトルをスキャンし、名前ベースの検知を回避するためにバイナリ名を変更したチートプロセスを捕捉します。

プローブ間隔

**最小スキャン間隔(秒)最大スキャン間隔(秒)**のフィールドで、改ざん監視プローブの実行頻度を制御します。クライアントはスキャンごとにこの2つの値の間でランダムな間隔を選びます。許容範囲は30~3600秒で、最小値は最大値以下である必要があります。値が無効な場合、ページには次のメッセージが表示されます。最小間隔は最大間隔以下である必要があります。値を修正するまで保存はブロックされます。