PlayStation Network の障害、侵入および情報漏洩にまで展開か 78
ストーリー by reo
防衛側の奮闘を応援せざるを得ない 部門より
防衛側の奮闘を応援せざるを得ない 部門より
先日 /.J 記事でも報じられた PlayStation Network の障害だが、侵入を受けたことが PlayStation Blog の記事で明らかにされた。また時事ドットコムの記事によれば 7500 万件の個人情報が流出した可能性があるとされている (本家 /. 記事) 。Reuters の記事によれば 7700 万件とも。
/.J の読者であれば「ああ、Anonymous の攻撃ね」(参考: /.J 記事) とか「Anonymous って Amazon に Fax いやがらせをするようなヘタレでしょ」「Anonymous は形容詞です」とか考えていたのではないかと思われるが、時事ドットコムや Reuters が報じる漏洩件数だけを見れば世界最大級の情報漏洩事件とも言え、予想以上に深刻な様相を呈している。
パスワードを使いまわしている人は注意 (スコア:2, 参考になる)
メールアドレス+パスワードの組が流出してるぽいから、同じ組み合わせで他のサービスを利用している人は、速攻でパスを変えておく必要があるね。
他のサービスでも流用していることを前提にアタックをかけてくる可能性は十分にあるので。
パスワードは不可逆な暗号化して保存しろよ… (スコア:0)
馬鹿なの?>SONY
Re:パスワードは不可逆な暗号化して保存しろよ… (スコア:1)
> しかも今時はクラウドの力をもってすれば短時間で解読できてしまうから恐い。
7500万件もデータがあると、どのアカウントのデータを解析すれば得する(儲かる)かはわかりません。
クラウドのパワーを使うとなるとコストもかかりますしね。この場合、パスワードの暗号化はある定度有効だと思います。
# 別コメじゃないですが「愛しのあの子」といった特定のデータが知りたくてクラックしたなら話は別でしょうが
パスワードは平文でしろよ (スコア:1, 興味深い)
古い UNIX システムの /etc/shadow に john で試してみたことがあるんだが, DES だと 6文字以下のパスワードだと秒殺だった。 8文字以上だと少しは保つが,辞書に載っている単語の組み合わせやユーザ名のアナグラムになっていたりすると数十分でアウト。
ハッシュ値で保存していても,稼げる時間はそのくらいなんだ…と怖くなった。平文かハッシュ値かに関係なく,洩れたらすぐにパスワードを変更させるなどの対応をとる必要があると思う。
漏洩したときのリスクがそんなに変わらないのなら,平文の方が却ってセキュアにできるかもしれない。
平文だと,複数の challenge response 方式にも対応できる。インターネットのような信頼できない経路を使って認証するとき, SSL のようなコネクションごと暗号化する方法がとれない場合には重要だ。
そんなわけで。敢えて言おう,「パスワードは平文で保存しろよ」と。
愛しのあの人 (スコア:2, おもしろおかしい)
好きな/嫌いなプレイヤーが現実ではどんな人かわかっちゃいますね。
以前 (スコア:1)
1年ぐらい前だったか、PSNのユーザがポイントだかカードだか
勝手に使われたと言ってた話があったとうろ覚えしてるんだけど
# 今検索するとこのトピの話ばかり引っかかって見つからん
その際SCEは調査中だと言ったままだったような。
アノニマスじゃなくてそっちの関連じゃないの?って気もする。
そもそもクレカの情報はプレーンテキストで送ってる [unkar.org]って話もあったし。
Re:以前 (スコア:3, 参考になる)
http://www.jp.playstation.com/info/support/sp_20100903_psn.html [playstation.com]の件ですね。
結果的にはPSNサーバーにセキュリティ上の問題があったと。
Re: (スコア:0)
> そもそもクレカの情報はプレーンテキストで送ってるって話もあったし。
base64 さん disってんの? プレーンテキストだからって何が問題なんだぜ?
# でも、クリアテキストで送っていたら問題だな。
Re: (スコア:0)
Re: (スコア:0)
なんか勘違いしてそうだな。
十分な強度で暗号化したものでも、それがバイナリならプロトコルの都合等で送れないこともあるわけで。
その場合、BASE64等を用いてプレーンテキストにするだろ。
だから親コメの主旨は「プレーンテキストはダメ」というのは正しくない、といいたいのだと思うが。
公式来ました。 (スコア:1)
事態の早期終息と、サービス再開を待ちます。
週トロが二週お預けになるのはちとさびしい。
Re: (スコア:0)
It's a Sony (スコア:1)
赤ランプ点滅故障では修理代16,800円を取られたんで、
是非とも今回の補償では、それを上回る金額でお願いします。
http://hiroerohi.seesaa.net/article/108455505.html [seesaa.net]
#次世代機ってのは金ばっかかかるんだぜ?
Re: (スコア:0)
500円全国共通図書カード。
雄叫び (スコア:0)
すごい時代になったよね (スコア:0)
だから高級レストランと言ったじゃない
安すぎたかも
Re: (スコア:0)
プレスリリースや公式サイト上でのアナウンスをせずブログでの報告なの? (スコア:0)
公式アナウンスしか見ない人は気にしなくて良い程度の問題なのですかね。
今朝になって慌てて出したみたいな… (スコア:1, 参考になる)
http://www.jp.playstation.com/ [playstation.com]
お知らせ:“PlayStation Network”障害のお知らせ
↓
“PlayStation Network” 障害・メンテナンス情報 [playstation.com]
障害情報:2011年4月27日 “PlayStation Network”/“Qriocity”をご利用の皆様へのお詫びとお願い
↓
“PlayStation Network”/“Qriocity”をご利用の皆様へのお詫びとお願い [playstation.com]
とりあえずサービス復旧後のパスワード変更とか、カード履歴の確認を推奨してる。
まだ調査中でサービス復旧時期も未定とのスタンス。
Re:今朝になって慌てて出したみたいな… (スコア:3, すばらしい洞察)
>PlayStation®Network/Qriocity™パスワード
ってことはハッシュじゃなくパスワード自体をサーバに保存してたんですかね・・・?
Re:今朝になって慌てて出したみたいな… (スコア:1, 興味深い)
ハッシュで保存してても、今はレインボーテーブルがあるから、HMAC-SHA1などを使う必要がある。
http://blog.f-secure.jp/archives/50564743.html [f-secure.jp]
Re: (スコア:0)
>ってことはハッシュじゃなくパスワード自体をサーバに保存してたんですかね・・・?
パスワードを忘れるとメール平文で送ってくるネットサービスはみなそうじゃない?
Re:今朝になって慌てて出したみたいな… (スコア:1)
普通は新しいパスワードを生成して、サーバーにハッシュで保存するんじゃない?
そうでないところもあるけど。
Re:今朝になって慌てて出したみたいな… (スコア:1)
え~~~と。
参考までにお伺いしますが、どうやって初期化しているんですか?
Re:今朝になって慌てて出したみたいな… (スコア:1, 参考になる)
金銭的二次被害が出ないことを祈ります。
もっとも、日割りでプレー料金を払っているネットワークゲームでは、PSNの停止でログインできず、既に金銭的二次被害が出ているともいえる。ネットワークゲームの運営業者が利用可能期間の延長等の救済策を出してくれればいいのだが……無理そうですね。
Re:プレスリリースや公式サイト上でのアナウンスをせずブログでの報告なの? (スコア:1)
アメリカの公式ではまだ載せていないだし、日本の関係者は間違いなくココを見ている?
http://us.playstation.com/ [playstation.com]
でも三流対応企業に比べれば、これからどうするかを箇条書きでまとめてあって、
真摯さが伺える文章だとは思います。
#津波だの原発だの地震だの、日本は世界の嫌われ者なのか><!?
SONYみたいな悪徳企業を日本の代表みたく言うな (スコア:0)
Re: (スコア:0)
一応,公式サイトのアナウンスは出している(ということになっている?)ようです。
http://cdn.jp.playstation.com/msg/state.html [playstation.com]
http://cdn.jp.playstation.com/msg/sp_20110427_psn.html [playstation.com]
トップページからは 「“PlayStation Network”障害のお知らせ」 でリンクされていて,これだけでは情報漏洩については分かりませ
Re: (スコア:0)
ブログと公式サイトって違うものなの?
Re: (スコア:0)
ブログもサイトの一種だけど、
「公式サイト」というとイメージ的にはいわゆる「プレスリリース」等を掲載しているwebサーバーのことかなぁ。
ブログは…
「公式ブログ」?w
ガクブル (スコア:0)
引っ越ししたばかりで住所変更まだしてなくてよかった……とかいう問題でもないよね、これ。
プリペイド残高も一体どうなることやら。
SCEがどんな対応をとるか、注視したいと思います。
Re:ガクブル (スコア:2)
しかし今回はクレカ情報が流出していない、という保証が無い。
カード登録していた人は、カード会社に再発行を申し込んだ方が良いだろうね。
カード再発行手数料は当然ソニーで負担してくれるんだろう?
情報流出で想定される被害には、こんな対応事例があった。
http://www.minerva-hd.com/faq_c_080806/faq/090703.html [minerva-hd.com]
IDとパスワードが流出している、しかもクレカ情報が流出していないという保証が無い状況では、PSNは再開してくれない方が心配が少なくていい。
Re: (スコア:0)
SCEがどんな対応をとるか、注視したいと思います。
過去の対応事例 [srad.jp]に準じても 7500万×500円=375億円…… しかも送付先は全世界……
1000万人単位の流出の事例 (スコア:4, 参考になる)
過去の事例で1000万人単位の情報流出だと、
米国カード会社、4000万件 [zdnet.com]、
韓国ショッピングAuction、1,081万件 [hitachi.co.jp]、
韓国石油会社GS Caltex 顧客1119万人 [impress.co.jp]ですが。
ざっと読んだ印象では(未確認ながら)
個人向けのおわび料支払いというのは見当たらず、
三番目の記事の参考部分に、
「確定判決が出ているケースにおける被害者1人あたりの賠償金は、
リネージュ事件で10万ウォン(約1万円)」というのがありました。
Re:1000万人単位の流出の事例 (スコア:1, 参考になる)
上には上がいるもので、アメリカでは1億3,000万件のカード情報流出 [afpbb.com]というのもあります。
Re:1000万人単位の流出の事例 (スコア:2)
ご指摘ありがとうございます。
1億3,000万件カード情報流出の前例があるなら、
PlayStation Network運営の人達もちょっと安心できる(?)かもしれませんね。
Re:ガクブル (スコア:2)
7500万アカウントにうどん定期券を配るんですか?
一人以外は全員敗者
それでもあきらめるより熱くなれ
Re: (スコア:0)
うどんの代わりに500円を震災義援金として寄付できるオプションもあると有り難い。
Re: (スコア:0)
Re:ガクブル (スコア:1)
Re: (スコア:0)
それなんてソフトバンクメソッド
あまりにも規模がデカすぎる (スコア:0)
もうゲハがどうこう言うレベルの問題じゃない…
ただでさえ原発問題で日本に対して世界がセンシティブになっている時期に、
日本を代表する企業がこれほどの規模の情報流出をやらかしたら、日本企業、しいては国家レベルで信頼が揺らぐことにもなりかねないのでは。
Re:あまりにも規模がデカすぎる (スコア:2, すばらしい洞察)
Re:あまりにも規模がデカすぎる (スコア:1)
そもそもゲハ関係ないよね?
Re: (スコア:0)
SONY なら,黙っていれば日本企業とは分からないんじゃないかな。
世界的には東アジア企業くらいの解像度での認識だと思う。
Re: (スコア:0)
日本と言う認識より東アジアな認識の方が大きいとか無知も甚だしい。
サムスンが日本企業だ思われることの方が逆よりはるかに大きいんだが。
どちらかと言うとアメリカや欧州の企業と思ってる人のほうがいるぜ。
Re: (スコア:0)
Re:あまりにも規模がデカすぎる (スコア:1, 参考になる)
一番ダメージが大きいのは将来の利益じゃないかな
Appleみたいにストアの中抜き商売したくて色々進めてたのに全部パァ
Androidで安く上げて、名前のイメージだけで囲もうとしたのも裏目に出てる
技術的に囲めなくて信用無くなったら、もうどうにもならないよ
編集自重 (スコア:0)
>Anonymous は形容詞です
http://srad.jp/security/comments.pl?sid=516414&cid=1872100 [srad.jp]
編集が煽ってどうするw
# 笑ってしまったのでAC
侵入するために障害を起こしたのでは・ (スコア:0)
PS3の売り出し時に、ネットワークとサーバーの増強を放置プレイしいていた会社だから、セキュリティホールがいろいろなところから報告があっても、それを直すためにシステムを止めることのできない構築方法で運営していたがゆえ、放置プレイ。ということはきっとないんだろうね。
本当に面倒だな。最近パスワードを2種類に限定していたから、あちこちのパスワードを全面的に修正しないといけない。
ブログで夜も昼もとわず働いているといっても、作業をやっているのはIBM?