クリエイターストア(ツールボックス)からのサードパーティ資産は、悪意のあるスクリプトであるバックドアを含む可能性があるため、共通のセキュリティリスクの源です。これらのスクリプトは、作成者にあなたの体験に対する不正なサーバーサイドアクセスを提供し、体験の状態を操作したり、機密データを盗んだり、プレイヤーの体験を中断させたりすることを可能にします。
バックドアは、見た目が正当なモデルにしばしば現れるため、特に危険です。一見無害な建物や車両に、特定のプレイヤーが参加したり、特定のコマンドが実行されたりしたときにアクティブになるスクリプトが含まれているかもしれません。モデルにスクリプトが含まれている場合、これはツールボックスのユーザーインターフェースで挿入前および挿入中に示されます。
Robloxは、悪意のあるスクリプトに対してモデルをプロアクティブに、または報告に応じて管理しますが、このプロセスはすべてのスクリプトを削除することを保証するものではありません。
ゲームを保護する
バックドアに対する最も効果的な防御策はサンドボックスです。モデルを挿入する際には、そのスクリプトを制限して、悪意のあるコードが機密APIに到達したり、モデル自体の外部のシステムに影響を与えたりしないようにする必要があります。
- ワークスペースで SandboxedInstance を Experimental に設定します。
- プロパティウィンドウで、モデルの Sandboxed プロパティを true に設定します。
- Capabilities プロパティを設定して、資産が機能するために必要な特定の権限のみを付与します。
サードパーティ資産にネットワーク、データストア、AssetRequire、CapabilityControl、またはLoadString機能を付与する際には、資産がそれらを必要とする理由を正確に理解していない限り、特に注意してください。これらの機能は、バックドアが一般的に悪用する強力なシステムへのアクセスを提供します。
資産を使用する前に、そのスクリプトを慎重に検査してください。特に難解または異常に複雑なコードに注意を払ってください。悪意のある行為者は、スタジオエディタで表示されたときに悪意のあるコードを画面外に配置するために空白を使用するなど、危険なコンテンツを隠すための欺瞞的な技術をよく使用します。他の開発者によって審査された高評価のコミュニティ資産を選ぶことを検討してください。ただし、人気が安全性を保証するわけではないことを忘れないでください。スクリプト制限の構成に関する包括的なガイダンスについては、Script Capabilitiesを参照してください。