ハッカー・クラッカーとPSNの攻防の経緯
PSPでPSNに登録したことがあるのだが、何の個人情報を登録したのかわからずやきもきしている。とりあえずハッカー・クラッカーとPSの攻防の経緯をまとめてみた。(結果的に一部個人情報流主が確認された)
要点は2010/1/22以降の「★」
侵入事例初報は「●」
2007/8/23 PSP全バージョンをダウングレードする「パンドラのバッテリー」ハック
2007/8/24 「パンドラバッテリー」で死亡PSPを復活
2007/9/10 薄型PSPもクラックに成功、カスタムファームウェア登場
2008/3/31 プレイステーション3に"Hello World"実証コード、自作ソフトが起動?
2008/3/27 ★ PLAYSTATION Storeに脆弱性、個人情報流出・不正な課金の可能性
PlayStationRNetworkをご利用の皆様へのお詫びとお願い
※パスワード変更機能の脆弱性だろうか。
2008/6/20 SCEE リーブス氏、PSPソフトの海賊行為に「新たな対策」を予告
2008/6/26 ソニー新三か年計画、ゲーム事業は「ゲーム以外とネットワーク」に注力
※3ヵ年かけて注力してきたネットワークではセキュリティには注力しなかったのだろうか
2009/10/4 freeplay 氏PSP go 早くもハックされる、"hello world"デモ公開
2010/1/22 ★ geohot氏、PS3の全メモリ領域へのアクセスに成功
2010/2/23 (Graf_chokolo氏)PS3ハッカーの自宅に家宅捜索入る。これに対しハッカーは「Hypervisor Bible」を公開
<元記事>
2010/3/29 SCE OtherOS機能を削除事を表明する
PlayStation®3をご利用のお客様へ(システムソフトウェア バージョン3.21アップデートのお知らせ) | プレイステーション® オフィシャルサイト
2010/3/30 George Hotz 曰く「PS3 のOtherOS機能可能にするから待ってろ」
<元記事>
2010/4/1 ★ SCE OtherOS機能を削除するシステムソフト配信開始
PlayStation®3 システムソフトウェア 更新履歴 | プレイステーション® オフィシャルサイト
※「従来モデルのPS3Rに搭載されていた「他のシステムのインストール」に関する機能を削除いたします」
2010/4/7 ★ (Geohot氏)PS3 カスタムファームウェア v3.21OO 、「他のシステム」対応を復活
元記事
※Geohot氏 がCFWを作成したのは、ソニーがv3.21で他OSを締め出した原因が自分の発表したPS3脆弱性にあるため。(詳細はリンク元)
2010/5/13 米空軍、PS3 の「他 OS インストール機能排除」問題に直面
※米軍「故障など問題が発生したマシンの交換がほぼ不可能になってしまった」
2010/12/30? ハッカーカンファレンス27C3 fail0verflowによる署名関係の脆弱性の発表
2011/1/5 (KaKaRoTo氏による)PS3にカスタムファームウェア作成ツール、自作アプリを起動可能
<元記事>
2011/1/9 ハッカーGeohot、PS3のソフトウェアJailbreakを公開。署名ツールも提供
<元記事>
2011/1/11 ★ ソニーがGeohotを(とfail0verflowを)訴訟、一時的差し止め命令発行へ−PS3ハック問題 (inside-games)
2011/1/16 ★ 非改造の PSP で任意のプログラムを実行可能にする暗号鍵も発見される
2011/1/18 PS3ハックでModern Warfare 2 オン対戦が混乱、パッチによる対応不能
※本体のセキュリティが破られているためパッチを配信できない模様
2011/1/27 PS3 のファームウェアアップデート(v3.56)にバックドア ?
http://www.jp.playstation.com/ps3/update/ud_hty.html#ver356
※(同じバージョン表記の修正アップデートが後日配信される。詳細は謎だが改造PS3を狙って何らかのアクションを仕掛けようしたのではないかと思われた。)
2011/2/8 SCEA、PS3 ハッカー訴訟を拡大。本家 /. にも召喚状が送られる
2011/3/23 ソニーは、Hotzが南アメリカへ逃げて、証拠を隠滅したと主張するが、Hotzの弁護士によると、それは真実でない。
Hacker Geohot denies involvement in PlayStation Network attack, blames Sony’s hubris | VentureBeat
2011/4/3 ★ ソニー、Geohot 訴訟の報復として Anonymous に攻撃される
元記事1元記事2
※「Anonymous はこのまま DDoS を続けても示威効果がないとみて、なんか良いアイディアが浮かぶまで攻撃を一時中断するようだ」
※Geohot氏とAnonymousは直接連携しているわけではない
2011/4/11 ★ PS3ハッキング訴訟、ソニーとGeoHot氏が和解
slashdot
ただし、氏はソニー製品の不買を表明
それをうけてアノニマスでは4月16日にソニーのボイコットを続けることになった。?
2011/4/19 ソニー PSP go が生産終了、流通在庫のみで終息へ
2011/4/19 PS3をハックしたGeohot氏、電子フロンティア財団(EFF)に1万ドルを寄付
2011/4/21 フィンランド消費者委員会、PS3 の「ほかのシステムのインストール」機能廃止に補償金を求める
<元記事>
2011/4/21 13:00頃から ★● PSNに世界規模の接続障害発生
<engadget>
外部からの侵入により何らかのデータがPSNサーバーから転送されたという証拠を、ソニーのチームは発見する。
追加でもう6台のサーバーが侵入されたと思われる。鑑識(forensic)チームによりサーバーのミラーリングを開始する。
漏えいデータの完全な調査には130台のサーバーと50のプログラムを調べる必要がある。
ソニーはセキュリティと鑑識のコンサルティング会社より人的資源を借りた
2011/4/22 ★ Anonymousによる声明
PSN Outage April 22 - For Once We Didn't Do It
※(PSNの障害について、「今回は我々は関与していないソニーは無能」)
2011/4/23 ★ 「外部要因とみられる影響により」PSNに障害が発生しているとSCEが告知
外部から侵入の初報PSNの障害は「外部からの侵入」、ブラビアのQriocity も利用不能
<海外公式ブログ>
鑑識チームは非常に高度な技術が用いられたことを確認した。侵入者は存在をシステム管理者から隠しながらも、サーバーの特権を拡大し、また、仕事を隠すためにログファイルを削除した。ソニーは鑑識チームを追加する必要した。
2011/4/24 海外初報とSCEJ公式の認識違い
“PlayStation Network”障害のお知らせ 「当社のネットワークインフラを強化するためにシステムの再構築」
PSN / Qriocity の障害は4日目も継続、「システムの再構築中」
2011/4/25 鑑識チームはすべてのPSNとQriocityから漏えい個人データの範囲を確定した。
しかしクレジットカード番号がアクセスされたかどうかは不明のまま。
2011/4/27 ★● PSN情報漏えい初報
PSN等で情報流出、詐欺やなりすましに注意
公式ブログ
PlayStationRNetwork/Qriocity?をご利用の皆様へのお詫びとお願い [PS公式](4/27日本語公式公式初報)
※現地ブログより日本語公式が遅れるなど、組織内で情報伝達が遅れている模様
2011/4/28 GeoHot氏は、PSN攻撃への関与を否定
Hacker Geohot denies involvement in PlayStation Network attack, blames Sony’s hubris | VentureBeat
2011/5/1 ★ PlayStation Network / Qriocityへの不正アクセスに関する説明会
PlayStationNetworkおよびQriocityへの 不正アクセスに関する現状と今後の対応について システムセキュリティを更に高度化し個人情報保護を強化、段階的にサービスを再開
PlayStationNetworkおよびQriocityへの不正アクセスに関する現状と今後の対応について
ソニー平井副社長「個人情報流出の被害はない。一律補償もしない」 - マサミネ の レビュー勝手口 ★<説明会にて質問していた 瀬川 雅峰さんのブログ> 映像もそちらで
速報:ソニー PlayStation Network / Qriocity 漏洩事件 記者会見
-
- 既知の脆弱性
- 個人情報漏洩への保障はしない。各種値下げはサービス停止に対するお詫び。
2011/5/1 PSN再開予定
サービス一時停止に関する今後の対応について
再開予定記載
2011/5/2 ★● SOEでの漏洩初報
Sony Online Entertainment のデータベースから顧客情報が違法に持ち出された可能性 <本社公式> <SCE公式>
ソニー、SOEの情報流出は2460万件。クレジットカード約1万2700件も
※4月17日の発生から明らかな遅れ
2011/5/3 米国下院公聴会
ソニー、米下院の公聴会での証言を拒否
2011/5/4★米下院小委員会の公聴会での回答
侵入されたソニーのサーバからファイル " Anonymous "見つかる 。中身は「我らはレギオン」
※Anonymousについての解説が詳しい。Anonymousはハッカーというより正しくはクラッカー集団。
ソニー、米下院に回答。個人情報7700万件すべての漏洩を認める
※なんてこったい
2011/5/5
ソニーのストリンガーCEO、個人情報流出を謝罪
★ ハッカー集団Anonymous「われわれではない」ソニー事件への関与否定
<元記事>
★● ソニー系米家電販社より2500人分流出<日経>
※5日午後3時ごろ(products.sel.sony.com)からCGIソースがもれていることがネットで話題になり、1日以上放置されていたのを確認した。
2011/5/7
ソニー本社HPにクロスサイトスクリプティングの脆弱性が残ると複数のブログ掲示板で話題
ソニー、PSN / Qriocity の復旧を延期。経産省は追加報告を要求
2011/5/7 Gitbrew.org PS3に「他のシステムのインストール」を復活させるOtherOS++ (CFG)公開
2011/5/9 SOE 2640万件すべての個人情報漏洩を認める 計1億件超
2011/5/11★一部再開
PSN/Qriocity、日本を除く世界主要地域で一部復旧
一部復旧したPSN/Qriocity、再び一時的にサービス停止
10分程度で再度落ちた模様
2011/5/17 CEOの初説明
ストリンガーCEO「ネットで100%安全はない」
報道各社へのリンク比較あり
2011/5/18 ★PSNに脆弱性残り再度停止
PSNにまた別の脆弱性、流出情報でパスワード再設定と不正ログインが可能
<米公式>
パスワード変更処理に URL エクスプロイトの脆弱性か
ソニー、PSNログインの欠陥を修正。「ハックではなく脆弱性」 - Engadget 日本版
2011/5/19
2011/5/20
2011/5/23
ソニー不正アクセス関連で140億円の費用(保証は計上せず)
● ギリシャのソニーBMGからユーザー情報流出
※SQLインジェクション (規模は不明)
2011/5/24
● SMEの日本サイトに侵入
※SQLインジェクション攻撃 (漏洩規模は不明)
2011/5/25
● ソニーエリクソン・カナダより2千人分の漏洩
※基本的なSQLインジェクションの脆弱性 (「日本人らしき名前も」)
2011/5/28
★ 日本でもPSNのサインイン、対戦など復旧<本社>
※漏洩された情報を確認できた。しかし1日程度で停止、すぐに停止した事実は公式に残らず。
2011/6/2
★ PSN全面復旧(※日本とアジア一部および一部製品を除く) <本社>
※日本ではまだ再開していないので、登録情報を変更していないと欧米経由でアカウントを盗まれる恐れアリ
2011/6/2
● LulzSec ソニー・ピクチャーズでも顧客情報漏洩、5万人の公開他
※基本的なSQLインジェクションの脆弱性 (生パスワードも)
2011/6/6
LulzSec ソニー・ピクチャーズ・ロシア(未確認) ※SQLインジェクション
JERSIUM [ソニーミュージックブラジル](未確認) ※HP改ざん
2011/6/8
2011/6/10
Idahc ポルトガルのソニーミュージックのサイトがハックされ、メールアドレスなど流出(未確認) (BlackOut)
スペイン警察 PSN侵入のAnonymousの司令塔(?)3名を逮捕(4gamer)