PR

図8●WiiあてにICMP Echo Requestパケットを10回送信したときのログ
[画像のクリックで拡大表示]
図9●送信元をWiiのIPアドレスに設定して標的端末の140/tcpにSYNパケットを20回送信したときのログ
[画像のクリックで拡大表示]
図10●再度WiiあてにICMP Echo Requestパケットを10回送信したときのログ
[画像のクリックで拡大表示]
表8●WiiのIPフラグメントIDと増減値(20回採取した場合)
表8●WiiのIPフラグメントIDと増減値(20回採取した場合)
表9●WiiのIPフラグメントIDのグラフ
[画像のクリックで拡大表示]

 表7から10回目に採取したパケットのIPフラグメントIDと,11回目に採取したパケットのIPフラグメントIDでは16以下の小さな増加しかないことが分かります。RST/ACKを受信しても多くのOSは何もパケットを返信しないので,WiiがRST/ACKを受信してもパケットを返信しないため,IPフラグメントIDを生成しなかったことが推測されます。標的のTCPポートが開いている場合は増加値が20以上で,標的のTCPポートが閉じている場合は増加値が20未満の値になることから,この違いを利用したIPフラグメントIDポートスキャンが可能なことを確認できました。

 この調査の結果から,「予測可能なIPフラグメントIDの生成」問題の対策として,PS3に施されている対策は十分,Wiiに施されている対策は残念ながら不十分と言えます。ただし,この問題が悪用されることによる被害は決して大きくはなく,WiiやPS3を家庭内のローカル・ネットワークからNAPT経由でインターネットに接続していることを考えると,悪用される可能性は極めて低いので,両ゲーム機が対策を施していることは高く評価したいと思います。

 ちなみにXbox 360ですが,残念ながら今は手元にないため最新バージョンのシステムで修正されているかどうかを確認することはできませんでした。マイクロソフトはWindows XPやWindows Vistaでも同じ問題が以前から指摘されていますが,いまでも修正されていないことから,Xbox 360でも修正していないのではないかと思います。

 結局,新しいバージョンのシステムでは,ネットワーク経由の能動的な攻撃に利用できるような新しいぜい弱性は見つかりませんでした。少々気になったのはPS3のリモートプレイで,これを使えるように設定するとTCPの9293番ポートが開きます。このポートを利用してPS3のTCP/IPプロトコル・スタックの実装を調べましたが,この結果については次回以降に書く予定です。

■著者 プロフィール
合同会社セキュリティ・プロフェッショナルズ・ネットワーク
代表社員
吉田 英二(Eiji James Yoshida)

1999年から今までに数多くの企業や省庁のセキュリティ診断を担当。主にセキュリティ・ホールや侵入技術の研究を手掛け、その研究成果を基にセキュリティ診断や教育、執筆活動を行っている。「セキュリティ徒然草」では、セキュリティ診断やセキュリティ・ホールに関する話題の他にも、セキュリティに関するよしなしごとをおもいのままに書き綴る。「penetration technique research site」や「Eiji James
Yoshidaの記録
」でも情報提供中。
※ 「情報セキュリティ実践トレーニング 2009 Summer」の受講者を8月14日まで募集しています。