任天堂 Wiiに関連する情報漏洩

この先数週間に渡って、五月雨式に情報がリークされる模様です。

  • Wiiオペレーティングシステム(IOS)のソースコード
  • IOSのSDK、一部のSDKライブラリのソースコード
  • システムの実装に関するドキュメント
  • 全てのシステムコンポーネントのブロック図/データシートとAES / SHA Verilog※VerilogはFPGAで用いられるハードウェア記述言語、なおAES / SHAの暗号化と復号化用のアクセラレーターだと思われる。
  • 「sdboot」SDカードからデータをロードするboot2の特別な製造バージョン※boot2はWiiの起動プロセスで呼び出されるブートコードのようなもの、boot2を書き換えてWiiをハックするBootMiiなどが有名。

その他諸々・・・。

原因は、Wiiの開発に携わっていたBroadOn社のサーバーから漏洩したと報じられています。なおBroadOn社はLinkedInの公開情報によれば社員数50名以下のソフトベンダーです。大手企業では自社のセキュリティ対策は万全だと思いますが、協力会社に対してセキュリティ対策を徹底させる事についても、CISOは配慮が必要だと感じます。

具体的には、開発に使うドキュメントは自社で管理するクラウドサービスから閲覧する仕組みを導入することをお勧めします。
例えばBoxでは、Boxを導入していない協力会社でもゲストアカウントとして招待できるうえ、地理的に分散した場所にAES 256ビット暗号化を使用して保存されるためセキュリティ対策もされております。

なお、クラウドベースの開発環境においてAmazonのCloud9は、ブラウザのみでコードを記述、実行、デバッグできる上にコードエディタ、デバッガー、ターミナルが含まれています。しかもJavaScript、Python、PHP などの一般的なプログラム言語に不可欠なツールがあらかじめパッケージ化されているので、環境構築の手間もかけずに利用を開始できます。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder OWASP Member ITは人々の生活をあらゆる面でより良い方向に変化させること 競争原理から共創原理へ