PSN Hacked――問題の根はどこに?
史上最大規模の個人情報漏えい事件 4月、ソニーのゲーム機関連のネットワークサービス「PlayStation Network」(PSN)で史上最大規模の個人情報漏えいがありました。この原稿を書いている段階では、ソニーの記者会見で公開された情報によって全貌がうっすらと見えてきました。 今回は、これを踏まえて筆者の推測について書いてみます。あくまでも筆者の個人的な推測であり、ソニーの発表以外の新事実を公開するものではありません。 記者会見によって明らかになったのは、以下のような事柄でした。 漏えいした個人情報の内容 システムはWebサーバ、アプリケーションサーバ、データベースサーバの3層構造になっていた 各サーバにはファイアウォールが設置されていた アプリケーションサーバの脆弱性を突かれた アプリケーションサーバに攻撃用ツールが置かれた アプリケーションサーバの攻撃用ツールからデータベースサーバ
SSL証明書の偽造
MD5と呼ばれるハッシュ関数が既に破られていたことは分かっていた。ところが,今度はMD5で署名されたデジタル証明書の偽造に成功した研究者が現れたのだ(関連記事:「SSL証明書の偽造」に研究者らが成功、計算には200台のPS3を使用/認証局のデジタル証明書が偽造されるリスクについて)。 これそのものは大きな問題でない。デジタル証明書を偽造するという研究が素晴らしい。よい取り組みだし,筆者は実在するセキュリティ・システムを破る目的で暗号解読攻撃が利用される例を見たいといつも思っている。大抵の場合,これほど大きな成果を収めることは暗号分野の研究者が想像するよりはるかに難しい。 もっとも,SSLのセキュリティ分野における役割は少なく,SSL証明書が偽造されたところで被害はそれほど大きくない。SSL証明書を検証する人はほとんどいないため,偽造攻撃を仕掛ける価値は小さい。そのうえ,通常インターネット上
Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に | スラド セキュリティ
本家のストーリにもなっているが、認証局として知られる「Comodo」のアウトソース先の証明書販売業者が、mozilla.com用のサーバ証明書を関係のない第三者に発行してしまう事件が発生したようだ(eWeekの記事「SSL Certificate Vendor Sells Mozilla.com Cert to Some Guy」、mozilla.dev.tech.cryptoグループに掲載されている事件の経緯)。 これをやらかしたのは「Certstar」というComodoの再販業者のようだ。StartComのEddy Nigg氏がこの再販業者に対してmozilla.com用のサーバ証明書の取得を試みたところ、何の本人確認手続きもなしに証明書が発行され手に入ってしまったのだそうだ。mozilla.dev.tech.cryptoでは、Comodoの人が出てきて、この再販業者からの発行を停止し
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PC
