2011年05月03日

PSNの障害の件についてメモ

今回のPSN個人情報漏洩に関する記事を纏めてみました。

個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報(4Gamer.net)
昨日の記者会見の内容は4gamerが一番詳しく書いてます。元々PCゲームニュースサイトなだけに侵入経路についても考察してるところが良いですね。

会見での発表内容からサービスの規模からすると随分お粗末な管理をしてますね。既知の脆弱性を衝かれて侵入されたというのはあまりにもお粗末過ぎる。で、セキュリティに関してはこんな記事も

数年前、PSPとPSNサーバとの通信が上手くいかなかったので、原因を探るために、PSPとPSNサーバ間の通信をパケットキャプチャして調査したことがあります。
その時の調査で、PSNのWebサーバ(フロントサーバ)からのレスポンスヘッダでApache とPHPが使用されていることがわかりました。ただ、そのApacheとPHPは古いバージョンで、悪意のあるプログラムの実行が可能な脆弱性があるものでした。大掛かりな商用システムの割には、セキュリティ面は杜撰なものだなと感じました。

PlayStationNetwork(PSN)のセキュリティは低かった ≪ mpw.jp管理人のBlog

数年前の話なので状況は変わっていると思いますが、サーバーの管理が杜撰なのは確かなようです。

漏洩したパスワードはハッシュ化されているので少しは安心できると思ったのですが場合によってはそうでもないみたいです。

このビデオを見ると、SQLインジェクションでWebフォーラムのハッシュ化ユーザパスワードを盗み取り、レインボーテーブルを提供しているサイトを利用して「ランダム文字列のパスワード」を解析し、SQLインジェクション情報を提供していたセキュリティ関連フォーラムへの侵入も成功させてしまった事がわかります。

パスワードハッシュはsaltと一緒にハッシュ化する

パスワードを平文で保存するのは論外で、MD5やSHA1でハッシュ化するのは当たり前です。しかし、SHA1を2000倍早くクラックする方法などが発見され「SHA1は脆弱だ」(ちなみにMD5はもっと危険)とされてからしばらく経ちます。

SHA1でハッシュ化したパスワードは危険になった

不可逆性のあるハッシュ化と言っても場合によっては復号できてしまうのでSCEの発表どおり、同じパスワードを使ってるサービスは早めにパスワード変更すべきですね。

今後ですが、5月中に完全復旧としてますが本当にできるんでしょうかね?補填が PlayStationPlus 30日分とPS3ユーザーしか見てないような内容なのもいかがなものかと思います。PSPしか持ってない人もいることは考慮してないんでしょうか?

posted by 与野 at 00:28| Comment(0) | TrackBack(0) | 日記
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/44684057
※ブログオーナーが承認したトラックバックのみ表示されます。
※言及リンクのないトラックバックは受信されません。

この記事へのトラックバック