パスワードを忘れた? アカウント作成
22085 story
インターネット

PLAYSTATION®Networkで不正利用 52

ストーリー by nabeshin
PCからの特殊な操作とは 部門より

あるAnonymous Coward 曰く、

プレイステーションオフィシャルサイトお知らせによると、PLAYSTATION®Network(PSN)で不正利用があったようだ。同サービスのコンテンツダウンロードサービス、

「PLAYSTATION®Store」において、PCからの特殊な操作により、一部のユーザー様のパスワードが第三者に勝手に変更された可能性があることが判明いたしました。その結果不正な個人情報の閲覧およびウォレットの不正利用などが行われた可能性があります。
とのこと。すでに対策は完了したようではあるが、PSN利用者はパスワード変更とウォレットの残高確認などをした方がよいだろう。
INTERNET Watchの記事によると該当者は25,500人とのこと。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by baka_gahaku (4542) on 2008年03月28日 18時50分 (#1321165) 日記
    今回は、「パスワードが第三者に変更された(自分で設定したパスワードを盗まれたわけではない)」と言うことなので、多分、パスワードの再設定処理に問題があったみたい

    再設定の流れは…

    ・ID(メールアドレス)と登録した生年月日を入力
     (どうやら、回数制限などはなかった模様)
       ↓
    ・リマインダー確認(いわゆる秘密の質問)
     (質問は数種類あって、自分が選んだモノは画面に表示される。答えは自由入力)
       ↓
    ・仮ログイン(新しく設定されたパスワードは画面に表示される)

    と言う感じで、利便性のために危険な橋を渡りすぎてしまったのではないか?

    最初は、「メールアドレスをキーに生年月日の総当たりかな?」と思ったけど、
    リマインダーがあるので、さすがにもうちょっと何かあったんだと思う。

    アカウントを持っている人は、ログインしてみると良いと思う。
    自分の設定したパスワードでログインできたら、とりあえずは大丈夫なはず。

    参考:PLAYSTATION Storeに脆弱性、個人情報流出・不正な課金の可能性 [engadget.com]
    参考:<追記有り>PLAYSTATION Network の脆弱性とは、「パスワードの再発行処理」かな? [rakuten.co.jp]
    • by Anonymous Coward on 2008年03月28日 22時54分 (#1321282)
      脆弱性があったとされる頃のフローは知りませんが、対策後であるはずの昨日時点でのフローは最後がちょっと違います。

      ・登録メールアドレスと生年月日を入力
         ↓
      ・秘密の質問に対する答えを入力(ご丁寧なことに、質問内容自体は表示される)
         ↓
      ・新パスワードを入力

      途中でメールが届くなどはなく、全部ブラウザ上の操作で完結しています。
      さすがにパスワード変更後はメールが来ましたが。
      対策前にどんな脆弱性があったのかは知りませんが、とりあえず今の仕様についても何だかなぁという気がします。
      生年月日や秘密の質問と答えを馬鹿正直に登録していると、親しい間柄の人には成りすまされちゃうかもしれません。

      なお、生年月日は変更できないのが仕様(アカウント登録時にもそうでるし、FAQにも書かれている)で、
      秘密の質問と答えも変更方法は不明(変更できない仕様である旨は見当たらず)です。

      # こんな設計が許されてしまうようじゃ、個人的にはまだまだ色々とヤバイものが埋まってそうだと思っています。
      親コメント
  • by Anonymous Coward on 2008年03月28日 20時37分 (#1321204)
    現在ファミ通 [famitsu.com]、GAME Watch [impress.co.jp]、ITmedia +D Games [itmedia.co.jp]とも完全沈黙です。
    いつもながらファミ通を頂点とするゲーム系メディアの情報統制ぶりには感心させられます。

    でもImpress WatchやITmediaなどゲーム以外のカテゴリーで記事にされてしまいましたね。残念でしたwww
    • by Sukoya (33993) on 2008年03月28日 21時46分 (#1321233) 日記
      GAME Watchでも、3月27日時点のダイジェストニュースの話題になっているのでは?
      http://www.watch.impress.co.jp/game/docs/digest/ [impress.co.jp]

      INTERNETWatchのダイジェストニュースが、必要性が低いと言う理由で廃止されたけれども、本当に誰も読んでないんだorz
      親コメント
      • by Anonymous Coward
        記事のないダイジェストニュースなんていったい誰が見るのかと
        トップページに出てこない時点でお察しください
    • by multiplex (33585) on 2008年03月28日 22時32分 (#1321263)
      ImpressはPS3に関してはどうもわけわかんなくて、バージョンアップについてはAV Watchあたりで採用してたり [impress.co.jp] 。
      本体が何かってのは二の次で、どの分野の話題かで振り分けてるんですかね?
      #ちなみに分解記事はPC Watchでした [impress.co.jp]。
      親コメント
      • by Anonymous Coward
        どの記者が記事にしたかじゃないの?ゲームに強い人、AV関連に強い人、セキュリティに強い人、分解に強い人、半導体に強い人で、それぞれ所属があるんじゃないのかな。
    • こういう事実を見ると、まだまだソニーは力を失っていない事が実感できる。
      少し安心した。
      親コメント
    • by Anonymous Coward
      いくらパスワードが改ざんできるといっても、
      メールアドレスが分からなければログインできないし、
      身内とかフレぐらいでしょ?イタズラできるのは。

      今回のケースに関しては情報公開および対策が早かったのでまぁ良しとします。
      なんて言うとGK乙とか言われるのかな。
      • by Anonymous Coward
        メアドは公開してる人もいるし、漏洩なんかもあるし。

        入手したアドレスを片っ端から試してもいいし、話題のアマゾン新ほしいものリストを
        メールアドレスで検索して、その内容からPS3ユーザかを推測して試すのもいいし。

        それに「身内やフレだったら俺のパスワード勝手に変えたりウォレット使ってもいいよ」って
        人はあんまりいないだろうね。

        #このあいだのHPの個人情報漏洩以来、英語のspamが1.5倍くらい増えたAC
  • by Anonymous Coward on 2008年03月28日 18時46分 (#1321162)
    (T/O)
  • by Anonymous Coward on 2008年03月29日 1時10分 (#1321355)
    【公式発表】
    >「~可能性があることが判明いたしました。」
    >「~不正利用などが行われた可能性があります。」

    【関連報道】
    >「現時点では、ユーザーからの被害報告は無いという。」

    【スラド】
    >「PLAYSTATION®Networkで不正利用

    #被害報告が(発表時点とは言え)一件も無いのに
    #2chでは「オレも!」「オレも!」と大量にいる謎。

    参考:あからさまな宣伝記事はウザい [srad.jp]
    • by Anonymous Coward
      パスワードが不正に変更されたのが確認されているなら、十分に、「PLAYSTATION®Networkで不正利用」と言っていいんじゃないの?
      • by Anonymous Coward
        >パスワードが不正に変更されたのが確認されているなら、

        少なくとも公式発表では、不正に変更された可能性がある、だけで、不正な変更を確認した、とはありません。
        • by Anonymous Coward
          >一部のユーザー様のパスワードが第三者に勝手に変更された可能性があることが判明いたしました。

          第三者と決め付けて判明までしてるのに?
          どんだけ信者なんだ
          • by gk (35543) on 2008年03月29日 10時23分 (#1321441)
            第三者とは、本人じゃない誰かという意味で、犯人が判ってるという意味じゃないですよ。
            それから、判明したのは、不具合の存在です。
            不正利用が判明したという事じゃないです。
            親コメント
            • by Anonymous Coward
              他には全部「可能性」をくっつけてるけど
              「PCからの特殊な操作により」これは判明したんだよね
              この時点で不正利用だしなぁ
            • by Anonymous Coward
              つまり、されたかされたないか事実確認すらままならないほど、ソニーの管理体制は杜撰だというお話ですね?
    • by Anonymous Coward
      編集者は不正アクセスと言いたかったんでしょ。
    • by Anonymous Coward
      指摘を受けてもタレコミ文を訂正しないって事は、
      既に被害者や不正利用を確認したって事ですかな?

      凄い情報収集能力ですね、本家のSCEも把握していないのに…
    • by Anonymous Coward
      そういうことも含めて、もっとタイトルには気を使え > タレコミ人および編集者
      http://srad.jp/science/comments.pl?sid=395110&cid=1319361 [srad.jp]
  • by Anonymous Coward on 2008年03月29日 8時58分 (#1321424)
    #ソースが見つからないから嘘かもしれんけど

    たしかソニーのサイトって前にも何かの予約のページのURLが、
    予約番号入れ替えるだけで他の人の情報丸見えとかいうアホな運営して
    問題になってなかったっけ?

    しかも番号入れ替えたアクセスを不正アクセスだとかゆってた気が・・・

    #誰かソース探してください。
  • by Anonymous Coward on 2008年03月29日 15時34分 (#1321519)
    パスワード変更ページにPOSTリンクとか。

    はまちやの犯行じゃないだろうな。
    この前のアマゾン騒動のトラップ行使とか立派な犯罪だろ。
    「はまちちゃんかわいい」「はまちちゃんサイコー」とか言って甘やかしてる周りの奴らも同罪だぞ。
    • by Anonymous Coward
      あの人のブログを読む限りではその辺の分別はついてるんじゃないかと思いますが。
      むしろ今年のオリンピック開催国の人々の方が、金儲けのためには何でもするので
      手加減を知らなくてやばすぎる。
      • by Anonymous Coward
        そうか?
        Twitter の dankogai のパスワードが勝手に変更されて不正書き込みされた事件でも、はまちやがたむろしてたようだが、あれは不正アクセスじゃないの?
  • by Anonymous Coward on 2008年03月30日 0時10分 (#1321641)
    > プレイステーションオフィシャルサイトのお知らせによると、PLAYSTATION®Network(PSN)で不正利用があったようだ。

    え、何処にそんなこと書いてあります?
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...