Sponsored Contents

exploitの最新記事

Image credit:
Save

ソニー、PSNログインの欠陥を修正。「ハックではなく脆弱性」

Ittousai, @Ittousai_ej
2011年5月19日, 午前06:44 in Exploit
0シェア
0
0
0

連載

注目記事

iPhone 11 / Pro / Maxレビュー。「11以降」と旧型を分ける超広角カメラ標準化とAR・機械学習の関係

iPhone 11 / Pro / Maxレビュー。「11以降」と旧型を分ける超広角カメラ標準化とAR・機械学習の関係

Ittousai, 9月20日
View

先にお伝えした PlayStation Network / Qriocity の新たな脆弱性について。報道されたのは、PCからアクセスするパスワードリセットページに欠陥があり、アカウントのメールアドレスと誕生日が分かれば再設定と不正ログインが可能になってしまう問題でした。これについて、米ソニー・コンピュータエンタテインメント が公式 Blog でコメントしています。SCEA広報責任者 Patrick Seybold 氏によると:
PSN および Qriocity のパスワードリセットページを一時的にダウンさせました。一部の報道とは異なり、ハックではありません。パスワードをリセットする過程に URL exploit があったため、修正しました。

PSNのパスワードをまだ変更していない消費者は、引き続き PS3 から直接変更することを勧めます。そうでない場合は、われわれが復旧させしだいウェブサイトを通じて変更することができます。
ハックではありませんがエクスプロイトはできました、という主張の意義はよく分かりませんが、4月の漏洩事件のように外部からPSNのサーバに侵入するのが「ハック」で、アカウント関連の脆弱性を悪用する行為は「ハック」にあたらないとの認識なのかもしれません。" hack " の定義はさておき、URL exploit との表現は、報じられた問題が仕様ではなく脆弱性だったことを確認したといえます。

この " URL exploit " については、SCEAのコメントの前からフォーラム等で方法が解説されていました。そちらによると、パスワードリセットにはまず登録メールアドレスにトークンつきのURLが届けられそこからしか手続きができないはずが、トークンの振り出しに問題があり、攻撃者が登録したダミーアカウントのためのトークンが別のアカウントのパスワードリセットにも使えてしまう脆弱性だったようです。

ソニーは日本とアジアを除く世界でPSN / Qriocity のサービスを再開するにあたり、一律にパスワードを再設定させています。PS3からの接続では認証済みの本体からのみ再設定を受け付ける手段が採られていますが、同時にメールでの再設定手段も用意していました。今回のハック、ではなく脆弱性が影響を与えたのはこの部分。いずれにせよ、国内ではまだPCからのパスワード再設定ページも含めPSNそのものが復旧していないため、幸か不幸か国内のユーザーは影響を受けません。



「TechCrunch Tokyo 2019」11月14日、15日に開催



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

関連キーワード: exploit, psn, psn hack, PsnHack, sce, scea, sony
0シェア
0
0
0

Sponsored Contents