韓国発のゲームポータルサイトがいつまでもFREAK対応してくれない件
産経ニュース】オンラインゲームで不具合、情報流出か 500万人が利用:情報セキュリティMEMO:So-netブログ
| 同社によると閲覧可能となったのは、居住する都道府県や血液型、年代、性別など。ログインすると、他人の情報が誤って表示されるなどした。不具合は同日行ったサイトの改修作業の影響といい、約30分間続いた。同社は「個人を特定できる情報は流出していない」としており、影響や原因を調べている。 |
(む)ぶろぐ - リネージュ2個人情報サイト: NCJ \(^o^)/ 情報流出か。500万人が利用
韓国のNCJapan(plaync)が 2012年9月ごろまで、軽い個人情報が 閲覧可能な状態にしていて、500万ユーザー分のゲームキャラクタの情報が誰でも閲覧できる状態になっていた、というニュースは記憶に新しいと思います。
これを踏まえてNC Japan は
| まず、この度の表示不具合につきましては弊社サービスをご利用いただいておりますお客様には大変なご心配とご不安を与えましたことを深くお詫びすると共に、今後このようなことのないよう、努めてまいりたいと考えております。 大変申し訳ございませんでした |
とのコメントを発表していたと思うのですが・・・。
| >openssl s_client -connect ncsoft.jp:443 -cipher EXPORT Loading 'screen' into random state - done CONNECTED(00000164) depth=2 C = US, O = "VeriSign, Inc.", OU = VeriSign Trust Network, OU = "(c) 200 6 VeriSign, Inc. - For authorized use only", CN = VeriSign Class 3 Public Primar y Certification Authority - G5 verify error:num=20:unable to get local issuer certificate verify return:0 --- Certificate chain 0 s:/C=JP/ST=Tokyo/L=Shibuya-Ku/O=NCJAPAN K.K./OU=NCJAPAN Service/CN=www.ncsoft .jp i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https:/ /www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3 1 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https:/ /www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3 i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Auth ority - G5 2 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Auth ority - G5 i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority --- Server certificate -----BEGIN CERTIFICATE----- MIIFIzCCBAugAwIBAgIQBLI86a2IA75ssx2ND/gofjANBgkqhkiG9w0BAQUFADCB tTELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMR8wHQYDVQQL ExZWZXJpU2lnbiBUcnVzdCBOZXR3b3JrMTswOQYDVQQLEzJUZXJtcyBvZiB1c2Ug YXQgaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL3JwYSAoYykxMDEvMC0GA1UEAxMm VmVyaVNpZ24gQ2xhc3MgMyBTZWN1cmUgU2VydmVyIENBIC0gRzMwHhcNMTQwOTE2 MDAwMDAwWhcNMTUxMDAxMjM1OTU5WjB7MQswCQYDVQQGEwJKUDEOMAwGA1UECBMF VG9reW8xEzARBgNVBAcUClNoaWJ1eWEtS3UxFTATBgNVBAoUDE5DSkFQQU4gSy5L LjEYMBYGA1UECxQPTkNKQVBBTiBTZXJ2aWNlMRYwFAYDVQQDFA13d3cubmNzb2Z0 LmpwMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuhOa3zTOydTJJIMM SJAURl9blFFyWsx5HyN/vvLCKq8nIzXRVOcnExAY69XB3hbSXu165xkp72tprQq2 TW159ICSojX9S2nOkQTLgXTQaGn2GDwNPtO2D4H/H+dQuaLzPd21w2j+toXB+W/0 QgyTpsBJP8tyyVcob5H6qwJDHv/Y5D2VZO2d5DLRpJ0yDcM0cktYq/c346BC8wyD kYj3CSxJBAjzkLrbTogm6PyOVwfkUl56DpnK7yMeFjEbvYUvT4s0AeTCSi1PSd0O Ep2L7b4ROveMi4FrleNZBiNtfaOMlkOzcn0qpzEYJUqtsaa92qNOxMDw7wI8CENZ 7DisIQIDAQABo4IBZjCCAWIwGAYDVR0RBBEwD4INd3d3Lm5jc29mdC5qcDAJBgNV HRMEAjAAMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYB BQUHAwIwZQYDVR0gBF4wXDBaBgpghkgBhvhFAQc2MEwwIwYIKwYBBQUHAgEWF2h0 dHBzOi8vZC5zeW1jYi5jb20vY3BzMCUGCCsGAQUFBwICMBkaF2h0dHBzOi8vZC5z eW1jYi5jb20vcnBhMB8GA1UdIwQYMBaAFA1EXBZTRMGCfh0gqyX0AWPYvnmlMCsG A1UdHwQkMCIwIKAeoByGGmh0dHA6Ly9zZC5zeW1jYi5jb20vc2QuY3JsMFcGCCsG AQUFBwEBBEswSTAfBggrBgEFBQcwAYYTaHR0cDovL3NkLnN5bWNkLmNvbTAmBggr BgEFBQcwAoYaaHR0cDovL3NkLnN5bWNiLmNvbS9zZC5jcnQwDQYJKoZIhvcNAQEF BQADggEBAKbl2gNSbn0PEBrHSSo0ouSpSnkYnck4mROSe55X7pmUxcrvYABrYhnr 7Ap9AcflLrTHI9HpWx3G0cPo/YqiAdKSwOPOkgpJDgTmbCuRA0HLdM+i26jqnTZl B5soC1FNcOQ2DgOxLHNwfgbZi438R9/wVo1mvqlnNbnkFJ7gHeyzmFsaEU5gtDbI L7aa3DBWp9I78IuYt6Noo7RTtyYFDuZ5rnC0KjyD7tFipsdRkWEDgTPjVJnF9CGJ uobA9pfJUSKEvnLR24kiUwVQ3TgaLnxWy7X8DHPf3wEVAsSoc/gzftXALUu63E59 /0w358/RY7tTgy7b037hTpYxe7tDQIo= -----END CERTIFICATE----- subject=/C=JP/ST=Tokyo/L=Shibuya-Ku/O=NCJAPAN K.K./OU=NCJAPAN Service/CN=www.ncs oft.jp issuer=/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https ://www.verisign.com/rpa (c)10/CN=VeriSign Class 3 Secure Server CA - G3 --- No client certificate CA names sent --- SSL handshake has read 4644 bytes and written 199 bytes --- New, TLSv1/SSLv3, Cipher is EXP-EDH-RSA-DES-CBC-SHA Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : EXP-EDH-RSA-DES-CBC-SHA Session-ID: E5DA4ED236BA6509EEB8F40CB960893A9A857C138B1099611EC078D1C590865A Session-ID-ctx: |
512Bitの暗号が利用可能ですね・ω・
華麗なる因数分解:FREAK攻撃の仕組み - ぼちぼち日記
そろそろ情報公開から 2週間なので、対応してないサイトはやばいのでは?
NCSOFTの有名なタイトルは リネージュⅡ/ ブレイドアンドソウル/タワー オブ アイオン/ギルドウォーズ
Translate
ポータルサイトとは無関係ですが中間者攻撃についてはまったく話を見ないですね。
以前プロバイダがhttpヘッダに対して個人番号を付加していて問題になったことがありました(AOLとか)。これは暗号を含まないのでtcpのチェックサムを合わせればいいので簡単ですが、httpsとなるとend-to-endのために無理がありました。このFREAKを使えばプロバイダやプロキシで内容の改竄が可能なんじゃないかと思います。
改竄とまではいかなくてもhttpヘッダを盗聴したい人は五万といるので、こういう所に利用されるのでしょうか。