PSNで再びセキュリティ欠陥発覚〜オンラインサイトのログインが停止状態に

欧米でオンライン対戦機能などが復帰したPSN。日本では個人情報保護法関連もあってまだ復活していないのですが、米ではソニー会長がかなり思い切った発言をしていろいろ物議を醸し出しています。昨日自分も記事にしましたが、Engadgetがさらに詳しい記事を掲載されていますね。

ソニーのストリンガーCEO「ネットで100%安全はない」(こんな世の中じゃ)

中でも「プレイステーション・ネットワークの加入者は一般より寛大だと思う。加入者はほかの誰よりも忠実で、事態を理解している」あたりの発言が特に反感を浴びている模様。そういった人はいるとは思いますが、情報漏洩を許した側が自ら免罪符的に口にする発言ではないですよね。

さて、そんな「より安全になった」前提のもとで復活の道を見せているPSNなのですが、その出鼻をくじくかのように、海外でまたちょっと違う視点でのセキュリティ上の弱点(exploit)が見つかり、問題になっているようです。

PSN logins exploited again, Sony takes pages offline -- Engadget
Sony's PSN password page exploit News - PlayStation 3 - Page 1 | Eurogamer.net

オンラインサイトの「パスワードリセット」に弱点

これは、直ちに「またクラッキングされて情報漏洩した」というものではなく、「その危険が生じる弱点が見つかった」というもの。具体的にはPSNオンラインサイトの「パスワードリセット」に関するもので、以下のサイト「Nyleveia」が弱点を発見し、大まかな弱点の内容や経過などを掲載しています。

Nyleveia - Sony » Warning All PSN Users: Accounts are still not safe.

このオンラインサイトとは、海外のPlaystationで提供されている公式Blogのこと。海外ではこちらのサイトでPSNのアカウントでログイン、コメントの書き込みが行えます。今回の情報漏洩でも、日本よりもいち早くこちらで情報開示、ユーザーのレスポンスなどがされていました。

PlayStation.Blog.Europe : Your daily fix of PlayStation news from across the SCEE region

問題があったのは、上記サイトの「パスワード再設定」の項目。どうやらある手続きを踏むとパスワードの変更が「e-mail」「誕生日」の入力だけで出来てしまうという仕様だったようです。今回流出のおそれがあった個人情報に、これらは含まれています。ですので潜在的には、すでに個人情報を手に入れているクラッカーは任意のパスワード変更が出来てしまう、というものです。実際に、Nyleveriaではテスト用のアカウントを取得して手順を試し、実行可能であることを確認した模様です。

PSNオンラインサイトのログインがメンテナンス中に

この件について、上記のサイトNyleveriaがどういった手続きをとっていたかがUpdateのところに書かれています。

まず最初は詳細な手順を伏せた形でTweetや記事で掲載、IGNやKotakuなど大手メディアに対して、詳細な情報が知りたければコンタクトを取るよう呼びかけました。その後、昨晩(現地時間)の内にSCEEに報告。そしてセキュリティーホールを明らかにしすぎたと判断して一部そのラフな情報をオンラインから取り下げたようです。

ただ、結局8-9時間ほどその問題が解決されていない状態が続き、「このままだとネットの暗部で詳細な方法が漏れ、ユーザーに危険が及ぶ可能性がある」と判断。問題点を再度ラフな形で明らかにし、「同時にメールアドレスを今まで一度も使用したことの無い新規のものにする」「パスワードを新しくする」という対策を取るように警告する投稿をN4Gで投稿したようです。

結果的にSign inのサイトが現在オフラインとなり、メンテナンス中となっています。(Eurogamerの記事によれば、PS3でのサインインおよびトロフィーデータ参照などは可能な模様。)

Under Maintenance

この状態をNyleveiaは、セキュリティホールへパッチを当てるための対策であろうと期待しているようです。ただ、それでも全てのPSNユーザーは自衛のためにPSN IDに関連付けられているメアドを新規のものに変える心づもりでいるべきだと警告しています。

また、すでにオンラインサイトのログインサーバーがオフラインになっているのを受け危険性はないと判断したのか、Kotakuではすでに具体的なexploit内容を掲載しています。

Report: Sony PlayStation Network Password Reset Page Exploited, Customer Accounts Potentially Compromised - Kotaku

どうやら、他のサービスでもよくある「パスワード確認時のメール確認」のところを、複数タブを開いて特定の手順を踏むことでスキップでき、自由に新パスワードを設定できてしまったいたようですね。パスワードについては最低限ハッシュはかけられていたので、比較的漏れは少ないと思われていましたが、この欠陥をつかれて直接書き換えられてしまうとどうしようもありませんね。

復帰直後の脆弱性発覚〜日本ユーザはリスク回避も、信頼性回復に課題か

現時点で、実際にこのexploitをついてパスワード変更が行われたのかどうか不明。少なくとも、だれかにパスを変更されてもSCEから「パスが変更された」というメール自体は届くようですので、注意深くメールを追っていれば被害にあったかどうかは分かるはずです。ソニーから、この期間にWebベースでパスワード変更した人に個別確認とかもされるかもしれません。

今回の件はオンラインサイトでのPSNパスワード変更の弱点。日本ではそもそもPSNのブログサービスがありませんでしたし(今後提供予定)、そもそもPSNが復活していないのでこの件は関係ありません。日本のユーザー的には海外ユーザーが人柱になったような形ですね。結果的には経産省GJという感じなんでしょうか。

つい先日「より安全になった」とストリンガー会長が会見したばかりで、早くも判明したセキュリティの弱点。5/1の日本での会見直後にSOEの流出が判明したのと同じ構図ですね。今回の件では、「すべての個人情報が漏れている可能性がある」という状況がいかにシステム的に厳しい状態なのか、またひとつ露呈した形となっています。

幸い、今回この脆弱性に気がついた「Nyleveria」は各種ゲーム情報を総合的に扱う情報サイト。HPでは日本の震災に対する赤十字への募金呼びかけも大々的に行っています。

Nyleveia » What is “Nyleveia”?

そうしたサイトですから、今回の件もある意味「善人のハッカー」として問題の発見から公表・警告まで、PSNユーザーの安全を優先して行動してくれました。なので実害はあまり出ていないと思いたいです。逆に悪意を持つクラッカーであればわざわざこんな情報公開しないで情報を盗んだり悪用をし続けることでしょう。もしこの脆弱性がNyleviaの調査で発覚せず、裏で悪用され続けていたら…と思うとぞっとします。

しかし、こうした度重なるセキュリティリスクの露呈に対して、ソニーはどのようにして「安全」であることを保証するのか。なかなか難しい課題となったように思います。今回は、善意のハッカーの手によって未然に大きな事故が防げたケースと言えるかもしれません。いっそのこと、ソニー自らハッキングコンテンストを開催して、突破できたら賞金、みたいな形でスーパーハッカーの助けを借りてみるのも手かもしれませんね。


P.S.
Engadget日本版でも記事が出ていますね。
PSNにまた別の脆弱性、流出情報でパスワード再設定と不正ログインが可能
海外の他のメディアでも報じられてきています。
Reports: Sony PlayStation Network still vulnerable to attack - Faster Forward - The Washington Post
Sony takes sites down after log-in exploit found | Circuit Breaker - CNET News
PlayStation Network Sign-in is down again due to new security loophole | ZDNet


P.S.2
PSNブログでもリリースが出ました。
Update on PSN Password Reset Process – PlayStation Blog

「いくつか報告されているようなハックは無い。パスワードリセットの脆弱性が見つかり、それは修復した」とのことのようです。PS3でのものは落ちておらず、ウェブもすぐに復旧させる模様です。