PSN Hacked――問題の根はどこに？：セキュリティ、そろそろ本音で語らないか（20）（1/2 ページ）

史上最大規模の個人情報漏えい事件

　4月、ソニーのゲーム機関連のネットワークサービス「PlayStation Network」（PSN）で史上最大規模の個人情報漏えいがありました。この原稿を書いている段階では、ソニーの記者会見で公開された情報によって全貌がうっすらと見えてきました。

　今回は、これを踏まえて筆者の推測について書いてみます。あくまでも筆者の個人的な推測であり、ソニーの発表以外の新事実を公開するものではありません。

　記者会見によって明らかになったのは、以下のような事柄でした。

• 漏えいした個人情報の内容
• システムはWebサーバ、アプリケーションサーバ、データベースサーバの3層構造になっていた
• 各サーバにはファイアウォールが設置されていた
• アプリケーションサーバの脆弱性を突かれた
• アプリケーションサーバに攻撃用ツールが置かれた
• アプリケーションサーバの攻撃用ツールからデータベースサーバのアクセス権を奪われて、情報漏えいの可能性を否定できない状態になった

　そして、今後の対策として、以下の措置を行うとのことでした。

• サンディエゴにあるサーバを別の都市にあるデータセンターへ移転する
• 不正アクセス監視、プロセス監視を行う
• ファイアウォールを刷新する
• PS3システムソフトウェアをアップデートする
• 全ユーザーのPSNアカウントのパスワードを変更する

　これらを総合的に判断すると、Webアプリケーション関連の脆弱性が突かれて、バックドアとなるアプリケーションが勝手に設置されたことが伺えます。プロセスの監視を行うということは、バックドアプログラムが勝手に起動しないように監視する、ということでしょう。またWebアプリケーションの脆弱性が突かれたとすると、Webアプリケーション自体のソースコードが漏えいしてしまい、そこからデータベースへのアクセス用パスワードが漏えいしてしまったことも考えられます。

　これらの手口は新しいものではなく、いわゆるSQLインジェクション、コマンドインジェクションなどの脆弱性を持つサーバの場合には、よく見られる攻撃パターンです。ブラウザでアクセスできるサーバの場合、ブラウザ上で確認できるソースコードを基にサーバへのパラメータを分析し、さまざまな意図しないパラメータを渡してサーバの挙動を見る、ということは脆弱性検査でも行われる一般的な手法です。

　また記者会見での質疑応答では、「一般的に知られた脆弱性が突かれた」とされています。しかしながら、あれだけ有名なサイトのことです。そんな簡単な手法で攻撃が成り立つならば、もっと昔から被害に遭っていても不思議はないし、それを指摘するエンジニアがいたかもしれない、ということです。つまり、長い間放置されていたとは考えにくいと思うのです。

「ゲーム機からのアクセス」のみを前提としていた？

　一方、今回の情報漏えいにかかわった可能性があるハッカーの残した地下掲示板におけるチャットのログといわれるものがハッカー関連のサイトで公開されています。もちろん信憑性は分かりませんが、その内容を読み取ると、「ゲーム機からソニーのサーバへの通信はSSLで暗号化されているが、その暗号化通信を解読してみた」と言っているのです。これはそれほど高い技術によるものではありませんが、意外と盲点になっていたとも考えられます。

　ゲーム機の場合、さまざまな環境での使用が考えられるため、一般的にはHTTPSなどの通信プロトコルが使われます。そしてHTTPSはSSLで暗号化されているため、一般的には盗聴されても安全、といわれています。オンラインバンキングやネット通販でも、「SSLにより暗号化されていますので安全です」と表示されることが多く、一般ユーザーも「HTTPSならば安全だろう」と思っていることでしょう。

　しかし、HTTPSによる暗号化は盗聴では破ることは難しいのですが、第三者攻撃（中間者攻撃、Man in the Middleともいう）を用いれば通信内容を取得できることが一部の専門家によって指摘されています。これは、最初に行われるHTTP通信を基にHTTPS通信を横取りする手法で、クライアントからはHTTPにしか見えず、中間者からサーバの間だけが暗号化されるというものです。

　また、「専用機器でHTTPS通信を行っているから、そのパラメータが秘密になっている限り勝手に改ざんすることもできないだろう」と思い込んで、サーバのセキュリティ対策をおろそかにしていたらどうでしょうか。万一パラメータが漏えい、または、解析されてしまうと、通常よりも脆弱なサーバはひとたまりもありません。パラメータがばれないから安全という前提は、むしろ危険なのです。

　問題となったゲーム機は、世界中のハッカーが改造や暗号解読に挑んでいることでも知られていました。海賊版やソフトの不正使用が主な目的ですが、その過程で通信の解読が行われていても不思議ではありません。

　もし、ゲーム機からしかアクセスのないサーバであれば、開発者は「ゲーム機からしかアクセスはこない」という前提条件で考えてしまうことでしょう。まさか、そのパラメータが偽装されて送り込まれる、ということまで想定しなかった可能性も考えられます。その場合、長期間にわたって脆弱性が放置されてしまっていたことに納得がいきます。

　発表された対策の中にはゲーム機のソフトウェアのアップデートが含まれていますから、ゲーム機側のソフトウェアで対策しなければならない何らかの「利用」があったと考えられます。つまり、通信の暗号化に関する機能の改善を図る、ということが含まれるのだと筆者は推測しています。

　しかし、ゲーム機のソフトウェアのアップデートはユーザー自身によって行われなければならず、必ずしも全員が行うとは限りません。そこでも一時的な混乱があるかもしれません。

「セキュリティ、そろそろ本音で語らないか」連載目次