Doodle Fighter DevLog
プレイする
API & Security 投稿日: 2026年6月27日

個人開発の防衛策:AIお絵描きゲームにおけるチート対策とAPI破産を防ぐ設計

1. はじめに:AIサービス個人開発における「インフラ破産」のリスク

近年、個人開発者でも強力な生成AI API(Gemini APIやOpenAI APIなど)を手軽にサービスに組み込めるようになりました。しかし、AIモデルを利用したサービスを一般公開する際には、従来型のWebアプリとは比較にならないほど致命的なリスクが存在します。それが「APIの不正利用による高額請求(インフラ破産)」です。

一般的な静的Webアプリであれば、リクエストが急増してもサーバー転送量レベルの少額コストで済みますが、AIのVisionモデルや対戦シミュレーターを呼ぶAPIは、1リクエストあたりのコストが相対的に高価です。もし悪意のあるBotや自動スクリプトがループ処理で大量のリクエストを送りつければ、一晩で数万円〜数十万円規模の請求が発生し、個人開発プロジェクトが崩壊(サービス継続不可能)に追い込まれるリスクがあります。

「Doodle Fighter」では、このリスクを最小化し、インフラ費用を一定の予算内に防衛するため、「フロントエンドとお絵描きCanvasの挙動連動チェック」および「バックエンドでのAPI制限(Rate Limit)」を組み合わせた二重の防衛ロジックを実装しています。

2. Canvasの「描画時間」と「ストローク数」を用いたユーザー操作検証

最も悪質な攻撃は、「自動スクリプトが適当な画像データをAPIに直接POSTし続ける」行為です。これを防ぐため、本作ではフロントエンドのお絵描きCanvas操作から**「人間ならではの物理的な動き」**をトラッキングし、メタデータとしてサーバーへ送信しています。

トラッキングする項目

  • active_time_ms (ミリ秒単位の総描画時間): キャンバス上でマウスを押した(タッチした)瞬間から、描き終えるまでの実動時間。
  • stroke_count (ストローク数): 線を何回引いたか(マウスダウンからマウスアップまでを1画とする)。

フロントエンド(JavaScript)でのトラッキング実装例

let strokeCount = 0;
let drawStartTime = null;
let isDrawing = false;

const canvas = document.getElementById("game-canvas");

// ユーザーがキャンバスにタッチ・クリックした瞬間に計測開始
canvas.addEventListener("mousedown", () => {
    isDrawing = true;
    strokeCount++;
    if (!drawStartTime) {
        drawStartTime = Date.now();
    }
});

// 送信データ構築時に描画時間をミリ秒で算出
function getDrawingPayload() {
    const activeTimeMs = drawStartTime ? (Date.now() - drawStartTime) : 0;
    return {
        image_base64: canvas.toDataURL("image/jpeg", 0.8),
        active_time_ms: activeTimeMs,
        stroke_count: strokeCount
    };
}

バックエンド(FastAPI)での二重検証ロジック

フロントエンドの検証はブラウザのJavaScriptを解析されれば迂回されるリスクがあるため、バックエンドでの再検証が最も重要です。

def validate_drawing_metrics(stroke_count: int, active_time_ms: int) -> bool:
    # 1. 最低ストローク数チェック (3本未満は人間のお絵描きとして不自然)
    if stroke_count < 3:
        return False
        
    # 2. 最低描画時間チェック (1.5秒未満でお題の絵を描くのは極めて困難であり、Bot判定)
    if active_time_ms < 1500:
        return False
        
    # 3. 描画時間に対する極端な連打の検知(チートツールの排除)
    clicks_per_sec = stroke_count / (active_time_ms / 1000.0)
    if clicks_per_sec > 15.0:
        return False
        
    return True

このチェックをFastAPIのキャラクター生成APIの最初期フェーズで通すことで、自動スクリプトによるダイレクトなリクエストを「AI APIを呼んで課金される前に」すべて弾く(HTTP 400エラーを返す)ことができます。

3. APIのレートリミット(IPアドレスベースのアクセス制限)の実装

物理的な動きチェックに加え、人間による「嫌がらせ」や「手動での超高速リピート送信」を防ぐため、「Rate Limiting(接続頻度制限)」を導入します。

FastAPIでは、limitsライブラリの拡張であるslowapiを利用することで、各ルーティングエンドポイントに対してデコレータ形式で非常に簡単にレートリミットを設定できます。

FastAPIでの実装例

from slowapi import Limiter
from slowapi.util import get_remote_address

# クライアントのIPアドレスをキーとして制限をかける
limiter = Limiter(key_func=get_remote_address)
app.state.limiter = limiter

# キャラクター生成はAPIコストが高いため「1分間に5回まで」に制限
@app.post("/api/characters")
@limiter.limit("5/minute")
async def create_character(request: Request, submission: CharacterCreate, db: AsyncSession = Depends(get_db)):
    # 物理描画バリデーションの実行
    if not validate_drawing_metrics(submission.stroke_count, submission.active_time_ms):
        raise HTTPException(
            status_code=400, 
            detail="キャンバスへの描画アクティビティが不足しているか、不適切な操作です。"
        )
        
    # キャラクター作成処理を続行...

レートリミット設定のベストプラクティス

  1. APIコストに応じたメリハリのある制限:
    • キャラクター生成 (AI Vision使用): 5/minute(1分間に5回まで。最も厳しく制限)
    • 対戦 (AIテキスト実況使用): 10/minute(1日最大10戦制限と併用して制限)
    • リーダーボードや図鑑の取得(DB読み取りのみ): 60/minute(緩やかに設定)
  2. クラウド破産の未然防止: IPベースのRate Limitをかけることで、万が一お絵描きチートチェックを突破する巧みなBotが組まれたとしても、1IPあたりの呼び出し総数を確実にキャップし、API課金のバーストを防ぐことができます。

4. まとめ

生成AIを用いた個人開発アプリを一般公開することは、悪意のある大量アクセスに対して非常に無防備な状態になることを意味します。

これに対抗するため、

  1. フロントエンドでお絵描きのストロークや時間を計測する
  2. バックエンドでAIを呼び出す前に物理データを再検証する
  3. slowapi 等を用いてIPベースのエンドポイント別レートリミットを設定する

という防衛システムを設計しておくことは、予算の限られた個人開発者にとって「アプリを安全に継続公開する」ための必須スキルと言えます。セキュリティ対策を強固にして、安心して面白いAIゲームを開発していきましょう。

開発ブログ記事一覧へ戻る