« スターウォーズのダースベイダー鎧兜 | トップページ | おしゃれイズム熊川哲也の腕時計コレクション »

2007/02/25

PLAYSTATION Storeのサイトに欠陥?

PS3のバージョンチェック回避用にフリーのProxyサーバソフトyappaをインストールしたついでにPLAYSTATION Storeのダウンロードコンテンツ周りで色々と遊んでみたのですが、有料コンテンツを容易に入手できてしまう欠陥がありそうだったので検証してみました。

検証手順

  1. PCのブラウザ上から鉄拳5DRのダウンロードURLにアクセスしてインストール用のPKGファイルをダウンロード
    (ダウンロードURLはPLAYSTATION Store接続時のルーターのログなどから容易に入手可能)
  2. yappa経由でPS3をネットワークに接続
  3. 無料デモをどれでもいいのでダウンロードしてキャッシュからPKGファイルを入手
  4. PCでダウンロードした鉄拳5DRのPKGファイルを無料デモのPKGファイル名にリネームして無料デモファイルに上書き
  5. PS3にインストールされた無料デモを削除
  6. yappaをオフラインモードに設定
  7. PLAYSTATION Storeから手順4でダウンロードしたデモを再度ダウンロードする

すると、yappaのキャッシュファイルをダウンロードすることになるため、無料デモではなくPCでダウンロードした鉄拳5DRがインストールされます。

今回は鉄拳5DRを購入した本体を使っての検証でしたが、海外サイトの情報によると、らコンテンツを購入していない本体でも有料コンテンツをインストールできるてしまうようです。
ただし、起動はできないようですが。

なので、現時点では直接の問題はなさそうですが、期間限定の体験版の配信が終了したものをインストールしたり、特定の国で配信されている体験版を海外のアカウントを作成することなくインストールしたり、将来的には自作ソフトをインストールしたりといったことが可能かもしれません。

海外でもここら辺で同じような話題がちらほらと出ているようです。

で、海外サイトにいくつかのコンテンツのダウンロードURLが記載されていましたが、私が調べたファイル名と同一でした。
ファイル名がランダムで非常に長い文字列だったので、てっきりユーザーごとにユニークなファイル名になっていてユーザー情報がひも付けされているかと思ったのですが、そうではなかったようです。

ということで、欠陥ではないかもしれませんが、URLさえ判明すればPCからも容易にファイルを入手できたり、Proxyサーバでファイルをすり替えが可能という問題と、全く異なるファイルであってもインストールできるという2点については問題のような気がします。

 
今回は即座に脅威となる問題ではないかもしれませんが、後々のためにもSCEは対策はしておいたほうがいいと思うんですが。

対策としては、ダウンロードサイトもHTTPSでセキュアな通信にしてしまう、PCからのアクセスをはじくような仕組みにする、インストール前にハッシュをチェックするなどしてファイルの正当性を検証する、ユーザー情報をひも付けしたユニークなファイル名を作成するなどでしょうか。

どれもそう難しい対策ではなさそうですが、どうなんでしょうか。

« スターウォーズのダースベイダー鎧兜 | トップページ | おしゃれイズム熊川哲也の腕時計コレクション »

コメント

コメントを書く

(ウェブ上には掲載しません)

« スターウォーズのダースベイダー鎧兜 | トップページ | おしゃれイズム熊川哲也の腕時計コレクション »