PlayStation Network関連のWebサイトで発生した史上最大規模の顧客情漏洩事件は、まだ全貌がはっきりしていませんが、会見によるとアプリケーションサーバーに脆弱性があり、そこから侵入されデータベースへのアクセス権限が奪われて顧客情報が盗まれたと思われます。

 この会見の情報が流れる前から、ハッカーのアンダーグラウンドの掲示板などでは、ゲーム機とサーバーの通信がSSLで暗号化されているだけで、その通信の中身を見てみると平文であったと言われています。SSLで暗号化すると盗聴されても内容が解読できないと思われていますが、そうではありません。

 SSLは盗聴では解読は困難ですが、MIM(Man In the Middle:中間者攻撃)を行えば、通信の内容は平文で取り出すことが可能です。このような技術は特別なものではなく、企業のセキュリティを守るためのセキュリティ機器でも用いられる技術です。プロキシーのような役割をしてSSLの通信内容を解読するソフトは、容易にネットから手に入れることもできます。例えば、無線LANの偽者の基地局などを立ち上げてその基地局を使わせることによって、SSLで暗号化されたオンラインバンキングなどのパスワードを盗むことも可能です。

 ゲーム機などの専用機は、分解などをしてもどういう動作をしているかを知ることが非常に困難であるために、通常のパソコンなどに比べればセキュリティ的に安全性が高いとされています。これはネット家電でも同様のことが言われていて、専用機だから安全という表現をよく見かけます。しかしながら、ゲーム機やネット家電でも、SSLなどのどこでも使えるプロトコルが選ばれることが多いのです。その場合、先に述べたように暗号化通信の内容が平文として解読することが可能です。

 また、サーバーも、ゲーム機からしかアクセスが来ないという前提(思い込み)があると、改変された通信が来ることを想定せずにアプリケーションを構築してしまう可能性があります。例えば、通常のWebブラウザーからのアクセスを受け付けるようなシステムであれば、ある程度のセキュリティ対策を行いますが、ゲーム機からしか来ないサーバーの場合には、このセキュリティ対策がおろそかになってしまっていた可能性があると考えられます。

 今回の攻撃方法がどのようなものであったかは分かりませんが、一つの可能性としてゲーム機の通信を解析することによって、サーバーの脆弱性を暴いて、それを悪用した可能性があります。

 これまでネット家電やゲーム機では「外部からの攻撃」に対して対策が取られていました。また、ネット家電やゲーム機が直接侵入されたり踏み台にされたりしないような対策ということが論じられてきました。しかし、サーバーとの通信を密に行うようなケースでは、サーバーとの通信の2重の暗号化などの総合的な対策が必要とされます。