PSNにまた別の脆弱性、流出情報でパスワード再設定と不正ログインが可能

Ittousai
Ittousai , @Ittousai_ej
2011年05月19日, 午前 01:30 in playstation network
0シェア
FacebookTwitter
PSN logins exploited again, Sony takes sign-in pages offline

日本とアジアを除く世界では約25日ぶりに復旧したソニーのプレイステーション・ネットワーク / Qriocity で、また別のセキュリティ問題が見つかっています。今回の問題は、アカウントのメールアドレスと誕生日だけでパスワードの再設定ができてしまうもの。PSNはサービス再開後の接続にパスワードの再設定を強制していますが、この手法ではさらにまたパスワードを再設定できてしまいます。

第三者がパスワードをリセットして不正にログインした場合、個人情報の閲覧や登録クレジットカードを使ったウォレットへのチャージ、買い物などが可能になります。あくまで「メールと誕生日が知られていれば、あるいは推測できれば」が条件ではあるものの、届くメールを確認する必要はありません。またPSN / Qriocity では4月の不正侵入で世界7700万アカウントのすべてについて住所・氏名・性別・生年月日・ログインメールアドレスなどが漏洩しているため、どちらも第三者にすでに把握されていることを前提とすべき情報です。このためソニーでは、PSNサービス再開にあたってのパスワード再設定は PSNアカウントをアクティベートしたPS3本体 (アカウントとヒモ付けして認証済みのPS3) からしか実行できないように対策をしていました。

現時点では具体的な手法は公表されていないものの、この現象を確認・実証してソニーに通報したサイト Nyleveia によれば、PS3からではなくウェブ経由のパスワードリセット手続きに欠陥あった (要求するはずのトークン確認が不十分だった) とされています。ソニーのコメントや公式な対応は明らかになっていませんが、通報からしばらくしてPSNログインと関係するウェブサイトやパスワードリセットページはメンテナンスに入っています。

PSNログインの脆弱性といえば、2008年にもPCから第三者にパスワードを変更され勝手にログインされる欠陥が見つかっていました。

(再掲:ソニーのストリンガーCEO「ネットで100%安全は保証できない」)

追記:米公式 PlayStation.Blog にSCEAの公式コメントが掲載されました。いわく、一部で報道されているような「ハック」ではなく、パスワードリセット過程に「URL exploit 」があったため。ページを停止させて修正しており、PSNユーザーはPS3からパスワードをリセットするか、あるいはリセットページが復旧しだいできるだけ早く変更するように、としています。

 

TechCrunch 注目記事新型コロナのソーシャルディスタンスを支援するビデオチャットアプリ8選

 

新型コロナウイルス 関連アップデート[TechCrunch]

 

関連キーワード: playstation network, PlaystationNetwork, psn, psn hack, PsnHack, qriocity, sce, scee, sony
0シェア
FacebookTwitter