PLAYSTATION®Networkで不正利用 | スラドセキュリティ

PLAYSTATION®Networkで不正利用 52

ストーリー by nabeshin 2008年03月28日 18時23分
PCからの特殊な操作とは部門より

あるAnonymous Coward 曰く、

プレイステーションオフィシャルサイトのお知らせによると、PLAYSTATION®Network（PSN）で不正利用があったようだ。同サービスのコンテンツダウンロードサービス、

「PLAYSTATION®Store」において、PCからの特殊な操作により、一部のユーザー様のパスワードが第三者に勝手に変更された可能性があることが判明いたしました。その結果不正な個人情報の閲覧およびウォレットの不正利用などが行われた可能性があります。

とのこと。すでに対策は完了したようではあるが、PSN利用者はパスワード変更とウォレットの残高確認などをした方がよいだろう。

INTERNET Watchの記事によると該当者は25,500人とのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索52コメント Log In/Create an Account

パスワードの再発行の処理が怪しい (スコア:4, 参考になる)

by baka_gahaku (4542) on 2008年03月28日 18時50分 (#1321165) 日記

今回は、「パスワードが第三者に変更された（自分で設定したパスワードを盗まれたわけではない）」と言うことなので、多分、パスワードの再設定処理に問題があったみたい

再設定の流れは…

・ID(メールアドレス)と登録した生年月日を入力
　（どうやら、回数制限などはなかった模様）
　　　↓
・リマインダー確認（いわゆる秘密の質問）
　（質問は数種類あって、自分が選んだモノは画面に表示される。答えは自由入力）
　　　↓
・仮ログイン（新しく設定されたパスワードは画面に表示される）

と言う感じで、利便性のために危険な橋を渡りすぎてしまったのではないか？

最初は、「メールアドレスをキーに生年月日の総当たりかな？」と思ったけど、
リマインダーがあるので、さすがにもうちょっと何かあったんだと思う。

アカウントを持っている人は、ログインしてみると良いと思う。
自分の設定したパスワードでログインできたら、とりあえずは大丈夫なはず。

参考：PLAYSTATION Storeに脆弱性、個人情報流出・不正な課金の可能性 [engadget.com]
参考：＜追記有り＞PLAYSTATION Network の脆弱性とは、「パスワードの再発行処理」かな？ [rakuten.co.jp]
- Re:パスワードの再発行の処理が怪しい (スコア:2, 参考になる)
  
  by Anonymous Coward on 2008年03月28日 22時54分 (#1321282)
  
  脆弱性があったとされる頃のフローは知りませんが、対策後であるはずの昨日時点でのフローは最後がちょっと違います。
  
  ・登録メールアドレスと生年月日を入力
  　　　↓
  ・秘密の質問に対する答えを入力(ご丁寧なことに、質問内容自体は表示される)
  　　　↓
  ・新パスワードを入力
  
  途中でメールが届くなどはなく、全部ブラウザ上の操作で完結しています。
  さすがにパスワード変更後はメールが来ましたが。
  対策前にどんな脆弱性があったのかは知りませんが、とりあえず今の仕様についても何だかなぁという気がします。
  生年月日や秘密の質問と答えを馬鹿正直に登録していると、親しい間柄の人には成りすまされちゃうかもしれません。
  
  なお、生年月日は変更できないのが仕様(アカウント登録時にもそうでるし、FAQにも書かれている)で、
  秘密の質問と答えも変更方法は不明(変更できない仕様である旨は見当たらず)です。
  
  # こんな設計が許されてしまうようじゃ、個人的にはまだまだ色々とヤバイものが埋まってそうだと思っています。
  
  シェア
  
  親コメント
ゲーム系ニュースサイト完全無視 (スコア:2, 興味深い)

by Anonymous Coward on 2008年03月28日 20時37分 (#1321204)

現在ファミ通 [famitsu.com]、GAME Watch [impress.co.jp]、ITmedia +D Games [itmedia.co.jp]とも完全沈黙です。
いつもながらファミ通を頂点とするゲーム系メディアの情報統制ぶりには感心させられます。

でもImpress WatchやITmediaなどゲーム以外のカテゴリーで記事にされてしまいましたね。残念でしたwww
- Re:ゲーム系ニュースサイト完全無視 (スコア:2, 参考になる)
  
  by Sukoya (33993) on 2008年03月28日 21時46分 (#1321233) 日記
  
  GAME Watchでも、3月27日時点のダイジェストニュースの話題になっているのでは？
  http://www.watch.impress.co.jp/game/docs/digest/ [impress.co.jp]
  
  INTERNETWatchのダイジェストニュースが、必要性が低いと言う理由で廃止されたけれども、本当に誰も読んでないんだorz
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    記事のないダイジェストニュースなんていったい誰が見るのかと
    トップページに出てこない時点でお察しください
- Re:ゲーム系ニュースサイト完全無視 (スコア:2, 興味深い)
  
  by multiplex (33585) on 2008年03月28日 22時32分 (#1321263)
  
  ImpressはPS3に関してはどうもわけわかんなくて、バージョンアップについてはAV Watchあたりで採用してたり [impress.co.jp] 。
  本体が何かってのは二の次で、どの分野の話題かで振り分けてるんですかね？
  #ちなみに分解記事はPC Watchでした [impress.co.jp]。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    どの記者が記事にしたかじゃないの？ゲームに強い人、AV関連に強い人、セキュリティに強い人、分解に強い人、半導体に強い人で、それぞれ所属があるんじゃないのかな。
- Re:ゲーム系ニュースサイト完全無視 (スコア:1)
  
  by gk (35543) on 2008年03月28日 21時09分 (#1321216)
  
  こういう事実を見ると、まだまだソニーは力を失っていない事が実感できる。
  少し安心した。
  
  シェア
  
  親コメント
  - - Re:ゲーム系ニュースサイト完全無視 (スコア:2, おもしろおかしい)
      
      by gk (35543) on 2008年03月28日 21時53分 (#1321240)
      
      やった！
      初めて直接ねぎらいの言葉もらったよ！
      
      シェア
      
      親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  いくらパスワードが改ざんできるといっても、
  メールアドレスが分からなければログインできないし、
  身内とかフレぐらいでしょ？イタズラできるのは。
  
  今回のケースに関しては情報公開および対策が早かったのでまぁ良しとします。
  なんて言うとGK乙とか言われるのかな。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    メアドは公開してる人もいるし、漏洩なんかもあるし。
    
    入手したアドレスを片っ端から試してもいいし、話題のアマゾン新ほしいものリストを
    メールアドレスで検索して、その内容からPS3ユーザかを推測して試すのもいいし。
    
    それに「身内やフレだったら俺のパスワード勝手に変えたりウォレット使ってもいいよ」って
    人はあんまりいないだろうね。
    
    #このあいだのHPの個人情報漏洩以来、英語のspamが1.5倍くらい増えたAC
ログに SQL インジェクションでも残ってたのかな？ (スコア:0)

by Anonymous Coward on 2008年03月28日 18時46分 (#1321162)

(T/O)
これがスラドの真の姿？ (スコア:0)

by Anonymous Coward on 2008年03月29日 1時10分 (#1321355)

【公式発表】
＞「～可能性があることが判明いたしました。」
＞「～不正利用などが行われた可能性があります。」

【関連報道】
＞「現時点では、ユーザーからの被害報告は無いという。」

【スラド】
＞「PLAYSTATION®Networkで不正利用」

＃被害報告が(発表時点とは言え)一件も無いのに
＃2chでは「オレも！」「オレも！」と大量にいる謎。

参考：あからさまな宣伝記事はウザい [srad.jp]
- Re: (スコア:0)
  
  by Anonymous Coward
  
  パスワードが不正に変更されたのが確認されているなら、十分に、「PLAYSTATION®Networkで不正利用」と言っていいんじゃないの？
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    >パスワードが不正に変更されたのが確認されているなら、
    
    少なくとも公式発表では、不正に変更された可能性がある、だけで、不正な変更を確認した、とはありません。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      ＞一部のユーザー様のパスワードが第三者に勝手に変更された可能性があることが判明いたしました。
      
      第三者と決め付けて判明までしてるのに？
      どんだけ信者なんだ
      - Re:これがスラドの真の姿？ (スコア:1)
        
        by gk (35543) on 2008年03月29日 10時23分 (#1321441)
        
        第三者とは、本人じゃない誰かという意味で、犯人が判ってるという意味じゃないですよ。
        それから、判明したのは、不具合の存在です。
        不正利用が判明したという事じゃないです。
        
        シェア
        
        親コメント
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        他には全部「可能性」をくっつけてるけど
        「PCからの特殊な操作により」これは判明したんだよね
        この時点で不正利用だしなぁ
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        つまり、されたかされたないか事実確認すらままならないほど、ソニーの管理体制は杜撰だというお話ですね？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  編集者は不正アクセスと言いたかったんでしょ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  指摘を受けてもタレコミ文を訂正しないって事は、
  既に被害者や不正利用を確認したって事ですかな？
  
  凄い情報収集能力ですね、本家のSCEも把握していないのに…
- Re: (スコア:0)
  
  by Anonymous Coward
  
  そういうことも含めて、もっとタイトルには気を使え > タレコミ人および編集者
  http://srad.jp/science/comments.pl?sid=395110&cid=1319361 [srad.jp]
ソニーのサイトって前にも・・・ (スコア:0)

by Anonymous Coward on 2008年03月29日 8時58分 (#1321424)

#ソースが見つからないから嘘かもしれんけど

たしかソニーのサイトって前にも何かの予約のページのURLが、
予約番号入れ替えるだけで他の人の情報丸見えとかいうアホな運営して
問題になってなかったっけ？

しかも番号入れ替えたアクセスを不正アクセスだとかゆってた気が・・・

#誰かソース探してください。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  楽天とヤフーだったら覚えてる。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  それは、任天堂だったような気がする。
  - Re:ソニーのサイトって前にも・・・ (スコア:2, 参考になる)
    
    by Anonymous Coward on 2008年03月29日 14時00分 (#1321490)
    
    > それは、任天堂だったような気がする。
    
    ソースは？
    
    SCEのソースはこれ。
    購入者の個人情報が流出---プレステ2予約販売サイトで [nikkeibp.co.jp]
    
    当時、あまりの安易さに驚愕したので、よーく覚えておりまする。
    
    シェア
    
    親コメント
CSRFが原因か？ (スコア:0)

by Anonymous Coward on 2008年03月29日 15時34分 (#1321519)

パスワード変更ページにPOSTリンクとか。

はまちやの犯行じゃないだろうな。
この前のアマゾン騒動のトラップ行使とか立派な犯罪だろ。
「はまちちゃんかわいい」「はまちちゃんサイコー」とか言って甘やかしてる周りの奴らも同罪だぞ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  あの人のブログを読む限りではその辺の分別はついてるんじゃないかと思いますが。
  むしろ今年のオリンピック開催国の人々の方が、金儲けのためには何でもするので
  手加減を知らなくてやばすぎる。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    そうか？
    Twitter の dankogai のパスワードが勝手に変更されて不正書き込みされた事件でも、はまちやがたむろしてたようだが、あれは不正アクセスじゃないの？
誤誘導？ (スコア:0)

by Anonymous Coward on 2008年03月30日 0時10分 (#1321641)

> プレイステーションオフィシャルサイトのお知らせによると、PLAYSTATION®Network（PSN）で不正利用があったようだ。

え、何処にそんなこと書いてあります？
- やっぱり (スコア:1)
  
  by muon (34865) on 2008年03月28日 22時49分 (#1321278) 日記
  
  タイトルみて
  きっとあるだろうなと思ったらやはりあったか
  
  と、それは置いといて私もPS3チェックしておかないとね
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  (´-`）.｡oO(Wiiwareネタは何時採用されるのだろうか)
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    PS系に有利なタレコミはすぐに採用されて、
    不利なタレコミはなかなか採用されない。
    それについて愚痴ると、「ならお前がタレこめよ、文句ばっかり言うな」と言われる始末。
    もうタレこんでるっつーの。
    - Re:採用圧力 (スコア:1)
      
      by gk (35543) on 2008年03月29日 10時18分 (#1321440)
      
      Wiiのタレコミがあるなら下げておこうと思って探しに行ったが、無いじゃん。
      いったい何処にどうやってタレコミしたの？
      
      Wiiの話題が少ないのは、タレコミしてるつもりの人が、毎回タレコミしたつもりで何か失敗してるダケだったりしてな。
      
      シェア
      
      親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      採用されやすい文章を心がけたりはしてるのか?
      たとえばこんなタレコミなんて絶対採用されないぜ
      http://srad.jp/firehose.pl?op=view&id=21948 [srad.jp]
      - Re:採用圧力 (スコア:1)
        
        by taka2 (14791) on 2008年03月29日 15時56分 (#1321525) ホームページ日記
        
        似たようなタレコミの採用例 [srad.jp]はありますよ。
        編者によってちゃんと情報が付け加えられてますけど。
        結局のところ、編集者の琴線に触れるかどうかが最重要だと思う。
        あとは、同じネタのタレコミが複数あれば、より詳しくわかりやすいタレコミが採用されるでしょうね。
        
        シェア
        
        親コメント
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        他にも政治ネタやアジアネタは採用した後
        他のネタを連続で採用して
        押し下げる傾向にあるね
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        著作権ネタはそう感じた。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        それって、扱いが面倒だから時間がかかってしまって、キューが溜まってるだけじゃね？
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        PS3の有利な話題はSONYのGK部隊がちゃんと社内規定に沿ったキチンとした文章でタレこんできますからね。
        
        当然不利な話題よりは早く採用されるでしょうね。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        それが事実だとすると、任天堂は儲かってるのにそんな所の金をケチるのか。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      タレコミを入れてからの日数がオカシイと君が主張をするが、確証はあるの？誰が聞いても納得できるような確証はあるの？そもそも自分の垂れ込んだ日時と採用の日時の時間差は、他の同時期のタレコミに比べて本当に遅かったのか？それに他の人も指摘しているが、タレコミ内容に不足があったとは考えられない？あるいは、セキュリティネタだから、採用側も他のジャンルのタレコミよりも余分に時間が掛かった可能性とかは考えられない？
      
      バージョンアップの話題の時に自分の書いた書き込みをもう一度客観的に考えてみ。それに今回のようにPS3陰謀論っぽい事を言っ
  - タレこみ圧力 (スコア:0)
    
    by Anonymous Coward
    
    (´-`）.｡oO(Wiiwareネタは何時タレこまれるのだろうか)
    
    このコメントの時点で未だに一件もなし
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      誰もアレゲだとは思えなかったって事でしょう:-)
- 任天堂関係の不具合ネタなんて (スコア:0)
  
  by Anonymous Coward
  
  タレこんでから３～４日放置されただけならいいほうで
  採用されなかった事もあるぜ
  WiiのOperaの不具合タレこんだ時は４日ぐらい放置だったし
  - - Re: (スコア:0)
      
      by Anonymous Coward
      
      持ってない人、使ってない人程語りたがるね。
      
      パスワード変更されてれば次回ログイン時に気づくし、ウオレットが不正利用されていればその都度利用明細メールが届くから気付く筈なんだけど。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  採用しなければ「遅い」「偏向」と言われ、採用したらこれか。
  編集者も大変だね。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

PLAYSTATION®Networkで不正利用 More ログイン

パスワードの再発行の処理が怪しい (スコア:4, 参考になる)

Re:パスワードの再発行の処理が怪しい (スコア:2, 参考になる)

ゲーム系ニュースサイト完全無視 (スコア:2, 興味深い)

Re:ゲーム系ニュースサイト完全無視 (スコア:2, 参考になる)

Re: (スコア:0)

Re:ゲーム系ニュースサイト完全無視 (スコア:2, 興味深い)

Re: (スコア:0)

Re:ゲーム系ニュースサイト完全無視 (スコア:1)

Re:ゲーム系ニュースサイト完全無視 (スコア:2, おもしろおかしい)

Re: (スコア:0)

Re: (スコア:0)

ログに SQL インジェクションでも残ってたのかな？ (スコア:0)

これがスラドの真の姿？ (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:これがスラドの真の姿？ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

ソニーのサイトって前にも・・・ (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:ソニーのサイトって前にも・・・ (スコア:2, 参考になる)

CSRFが原因か？ (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

誤誘導？ (スコア:0)

やっぱり (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re:採用圧力 (スコア:1)

Re: (スコア:0)

Re:採用圧力 (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

タレこみ圧力 (スコア:0)

Re: (スコア:0)

任天堂関係の不具合ネタなんて (スコア:0)

Re: (スコア:0)

Re: (スコア:0)