PSNのサーバーで稼動していたソフトウェアのバージョンは古かったのか?

security

PSNのサーバーで稼動していたソフトウェアはバージョンが古かったのではないか? そしてその古いソフトウェアの脆弱性を攻撃者に狙われたのではないか? そんな情報が真しやかに流れている。はたして本当だろうか?


この説の根拠になっている情報にはいくつかある。

  1. 5月1日のSCEの会見で、「既知の脆弱性を突かれた」と発言している
  2. PS3ハッカー達の 2月のIRCのチャットログに、PSNApacheのバージョンが古いという発言がある
  3. PSNに対して実施されたと見られる Nmapのポートスキャン結果が複数公開されている
  4. PSNにログインした時に表示されたエラーメッセージが公開されている


まず1番目の情報から。会見では「アプリケーションサーバにおける既知の脆弱性を突かれた」「世の中には知られていたが、SNEIの担当者は把握できていなかった。」と述べている。既知としか言っていないが、おそらく 0dayではなかっただろうと思われる。したがってこの脆弱性に対応する新しいバージョンがすでにリリースされていたと考えるのが自然だろう。

(会見内容に関する記事)
http://japanese.engadget.com/2011/05/01/playstation-network-qriocity/
http://www.4gamer.net/games/036/G003636/20110501003/


次に2番目。これは #ps3devという IRCのチャネルでの会話。公開されたログの内容から、この時点でPSNのサーバーのいくつかで Apacheのバージョンが古かったのではないかと考えられる。ただし、あくまでも外部から見える情報(バナーなど)を見て推測しているようだ。したがって必ずしも実際のサーバーのバージョンと一致している保証はない。たとえば RHELなどでパッケージを利用してソフトウェアを更新した場合、バナー情報はそのままになるが、ソフトウェアは更新された状態になっている。したがってバナー情報をそのまま鵜呑みにはできない。

(Apacheのバージョンについて触れている会話。チャットのログから引用)
http://173.255.232.215/logs/efnet/ps3dev/2011-02-16

[13:41:56] if sony is watching this channel they should know that running an older version of apache on a redhat server with known vulnerabilities is not wise, especially when that server freely reports its version and its the auth server
[13:42:33] its not old version, they just didnt update the banner
[13:43:03] I consider apache 2.2.15 old
[13:43:08] which server
[13:43:11] it also has known vulnerabilities
[13:43:20] auth.np.ac.playstation.net
[13:43:23] ya the displayed version u see via banner is not the real version

(上のチャットに出てくる trixter氏と SKFU氏へのインタビュー記事)
http://www.wired.com/threatlevel/2011/04/trixter/


次に3番目。PSNのネットワーク(199.108.4.0/24)に対して、侵入直前の4月に実施された Nmapによるポートスキャンの結果が公開されている。誰が行ったものかはよくわからないが*1、別の日に実施されたものが複数ある。この内容を見ると、PSNの複数のサーバーで、Apache/Tomcat/OpenSSHのバージョンが古いことが示されている。ただし先程と同様にこれもバナー情報にもとづくものなので注意が必要だ。内容としては 2番目と整合性がとれている。

(公開されている Nmapのスキャン結果)
http://pastebin.com/cFPQjCdi (4月5日)
http://pastebin.com/jc05tQE3 (4月9日)


最後に4番目。これは 3/11に PSNにログインした際に表示されたというエラーメッセージ。ここでも Tomcatのバージョンが古いことが示されている。またそのバージョンは Nmapの結果に出ているバージョンと同じものだ。

(エラーメッセージに関する記事)
http://www.redspin.com/blog/2011/05/05/sony-psn-breach-%E2%80%93-how-bad-was-their-security-a-look-into-error-messages/


もしかすると他にも情報源はあるのかもしれないが、私が把握しているのはこれくらい。以上のことから、(おそらく)別々の情報源と思われるものがいずれも同じ結果を示していて、それらが互いに矛盾しないことから、実際に PSNのサーバーで稼動していたソフトウェアは最新ではなかった疑いが強い。もちろんこれらの情報の信憑性に疑問をはさむ余地はあるが、積極的に嘘をつく理由が見い出せない。今のところ各情報源の信憑性は高いと私は判断している。


この疑惑について先日の公聴会に出席したセキュリティ専門家の Gene Spafford氏も書簡で述べている。もっとも Sony公聴会を欠席したので疑問に答えてくれていない。しかし報道によると、Sonyのシニアディレクターである Patrick Seybold氏はこの疑惑をはっきりと否定しているようだ。以下の記事では、PSNSOEもサーバーは最新の状態に更新されていたと述べている。

(All Things Digitalの記事から、該当発言部分を引用)
http://newenterprise.allthingsd.com/20110506/exclusive-sony-considers-offering-reward-to-help-catch-hackers/

“The previous network for Sony Network Entertainment International and Sony Online Entertainment used servers that were patched and updated recently, and had multiple security measures in place, including firewalls.”


実際のところはどうだったのだろう。Sonyが情報を公開してくれない限りわからないし、公開するとも思えない。しかし本当にパッチがあたっていたのなら、既知の脆弱性を突かれて侵入されるというのはどうも矛盾している。やはり古いバージョンのソフトウェアが稼動していたと考えるのが自然ではないだろうか。

*1:報道されている内容、実施されている日時、IRCのチャットログなどから考えると、#OpSonyで Anonymousが実施した可能性が高い