Sponsored Contents

playstation networkの最新記事

Image credit:
Save

PSNにまた別の脆弱性、流出情報でパスワード再設定と不正ログインが可能

Ittousai, @Ittousai_ej
2011年5月19日, 午前01:30 in Playstation Network
1シェア
0
1,"likes":0
0

連載

注目記事

1億画素超えカメラ搭載スマホ、シャオミ「Mi Note 10」のグローバル版を試す。日本での発売に期待
12

1億画素超えカメラ搭載スマホ、シャオミ「Mi Note 10」のグローバル版を試す。日本での発売に期待

View

日本とアジアを除く世界では約25日ぶりに復旧したソニーのプレイステーション・ネットワーク / Qriocity で、また別のセキュリティ問題が見つかっています。今回の問題は、アカウントのメールアドレスと誕生日だけでパスワードの再設定ができてしまうもの。PSNはサービス再開後の接続にパスワードの再設定を強制していますが、この手法ではさらにまたパスワードを再設定できてしまいます。

第三者がパスワードをリセットして不正にログインした場合、個人情報の閲覧や登録クレジットカードを使ったウォレットへのチャージ、買い物などが可能になります。あくまで「メールと誕生日が知られていれば、あるいは推測できれば」が条件ではあるものの、届くメールを確認する必要はありません。またPSN / Qriocity では4月の不正侵入で世界7700万アカウントのすべてについて住所・氏名・性別・生年月日・ログインメールアドレスなどが漏洩しているため、どちらも第三者にすでに把握されていることを前提とすべき情報です。このためソニーでは、PSNサービス再開にあたってのパスワード再設定は PSNアカウントをアクティベートしたPS3本体 (アカウントとヒモ付けして認証済みのPS3) からしか実行できないように対策をしていました。

現時点では具体的な手法は公表されていないものの、この現象を確認・実証してソニーに通報したサイト Nyleveia によれば、PS3からではなくウェブ経由のパスワードリセット手続きに欠陥あった (要求するはずのトークン確認が不十分だった) とされています。ソニーのコメントや公式な対応は明らかになっていませんが、通報からしばらくしてPSNログインと関係するウェブサイトやパスワードリセットページはメンテナンスに入っています。

PSNログインの脆弱性といえば、2008年にもPCから第三者にパスワードを変更され勝手にログインされる欠陥が見つかっていました。

(再掲:ソニーのストリンガーCEO「ネットで100%安全は保証できない」)

追記:米公式 PlayStation.Blog にSCEAの公式コメントが掲載されました。いわく、一部で報道されているような「ハック」ではなく、パスワードリセット過程に「URL exploit 」があったため。ページを停止させて修正しており、PSNユーザーはPS3からパスワードをリセットするか、あるいはリセットページが復旧しだいできるだけ早く変更するように、としています。


広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

1シェア
0
1,"likes":0
0

Sponsored Contents