|
|
|
2008.03.27
テーマ:私のPC生活(7419)
カテゴリ:日常的な出来事
おいちゃんだが!お久しぶり!!
<何カ所かに追記有り> PLAYSTATION Network の脆弱性をつかれて、大量にユーザーIDが流出したらしい。 ちょっと嫌な感じだね、いろんなところで取り上げられるだろう。 参考:PLAYSTATION Storeに脆弱性、個人情報流出・カード不正利用の可能性 参考:PLAYSTATION?Networkをご利用の皆様へのお詫びとお願い 何でそんなことになるのよー!! と言うことで、ちょっと調べてみたら、気になる記述を発見。 公式では詳しく書いてないので、あくまで推測だけれども……… まず、公式発表の気になる部分は、「パスワードが勝手に変更された可能性」と書かれている所。 パスワードが漏れたわけではないのかな? 自分のIDにログインして、変更されてないか確認してみろ、と書いてあるし。 と言うことは、「パスワードの再設定が他人から出来てしまう脆弱性」かな? 実際に、パスワードを忘れた時の処理のページを見てみると………「メールアドレス」と「生年月日」が必要みたいだ。 これは確かに、手に入れやすい情報だし、隙があると言えばあるけど、脆弱性に直結するほどではないような……… <追記ここから> いわゆる「秘密の質問」もあった模様 http://www.jp.playstation.com/support/qa-641.html <追記ここまで> と、いろんな所を探していたら、気になるページを発見。 I forgot my Password, and whose birthday I used...(英語) ゲーム関係の読者投稿型お悩み相談ページなのだが、質問者はこう言ってる。 「パスワード忘れた。生年月日も忘れちゃった。どうやってログインしたらいい?」 たわいもない回答がいくつかあった後、質問者がとんでもないこと言い出した。 「自分と両親の誕生日で、1900年から1990年まで試してみたけど駄目だったよ」 ん? 3×90で270通り試してみたって? もしかして、この、パスワード再設定部分は、リトライ制限がないの? 大抵、こういう部分には、プログラムで大量のリクエストを投げられて、全ての組み合わせを試されないように、「3回ミスすると1日設定できない」とかするよね? しかもどうやら、パスワード再設定時には、そのままログインできた様子。 本来なら、登録されたメールアドレスに対して結果を投げて、攻撃者の目にふれにくいようにするべき。 仮の新規パスワードを発行するとか、仮のゲートウエイページを発行するとか。 まとめると、次の3つの要因が組み合わさった結果、起こった事態だと思う、憶測だけど。 ・パスワード再発行の質問項目が少なく、良くない項目である <追記ここから> いわゆる「秘密の質問」もあった模様 http://www.jp.playstation.com/support/qa-641.html <追記ここまで> ・パスワード再発行のリトライに制限がなかった 対応策:3回間違えたら 1日設定できない、のようにするべき ・パスワード再発行の挙動が、そのままログインだった 対応策:最低でも、登録されたメールアドレスを介した挙動のように、すでに登録されている連絡先を使うべき この3項目の中では、最も困った挙動 でも、ちょっと鼻がきく人なら、上記の3つの項目とも、今回のような挙動にすることはあり得ない。 何でこんな事になってしまっているのだろうか? まぁたぶん、PS3とかPSPでアクセスした時の利便性のため、とかなんだろうなぁ。 妄想だけど。 <追記ここから> 被害にあった可能性のあるアカウント数は、約25,500とのこと、多い 参考:「PLAYSTATION Store」利用者パスワードが改竄の恐れ、該当者は約25,500人 <追記ここまで>  PS3 Skin - Urban Camo お気に入りの記事を「いいね!」で応援しよう
最終更新日
2008.03.27 18:32:07
コメント(0) | コメントを書く
[日常的な出来事] カテゴリの最新記事
|
