PlayStation 3に一体何が起こったのか





PS3でハッキングできるのはファームウェアが3.55まで、3.56以降は対策されてしまったため(exploitが見つかっていないため)ハッキングできません。CFWも3.55までしか存在しない(一部3.56のものは存在します)時代が比較的長く続いていました。

ところがここ最近Bluedisk CFW 4.21Rogero CEX-4.21 CFWE3 CFW4.30のように最新またはつい先日まで最新だった4.xxのカスタムファームウェア立て続けに公開されています。

3.56以降のPS3でこういったCFWを直接インストールすることができない(exploitが見つかっていないため)という事実は今も変わっていませんが、まるでPSPのように最新ファームウェアが公開されるたびそのCFWが公開されるという事態は発売から数年間「鉄壁のセキュリティ」と言われて来たPlayStation 3らしからぬ状態です。

一体あのPS3に何が起こったのでしょうか。かつてもナントカkeyをGeohot氏が公開してCFW化が進みました、あの頃とは何が違うのでしょうか。

今回のことの発端は要求ファームウェア4.21のPS3タイトル『Dead or Alive 5』をmultiMANがインストールされているCFW PS3で起動している動画が公開され、それが中国人ハッカーチームであるRed Power TeamのCFW 4.21だったことにさかのぼります。

その正体がBluedisk CFW 4.21であり、そのBluedisk CFWはCFW 4.25となり実際に公開されました。
http://www.youtube.com/watch?v=PvFg1A7En6I

ところがこのBluedisk CFWはCDKEYなるものを購入させて一儲けしようという企みで発表されたものでした。その直後LV0 keyが流出し、CDKEYの不要なRogero CEX-4.21 CFWが無償配布されました。

LV0 keyはPS3のLV0の復号化キーのことであり、そのKeyを公開したのはThe Three Tuskateersというチームです。LV0 keyがあればPS3のファームウェアをPC上で復号することも可能になります。

そのようなものがなぜ急に公開されたのでしょうか。The Three Tuskateersは信頼して渡したLV0 keyでカネと名誉を得ようとしたBluedisk CFWチームに対抗したのだと語っています。そしてリークされBluedisk CFWが出るようなことがなければLV0 keyは公開するつもりもなかったとしています。

The Three TuskateersがどのようにしてLV0 keyを手に入れたのかが気になりますが、どうやら独自の、ないしはfail0verflowのexploit同様の方法、あるいはハードウェア的な方法を使いbootldrのダンプに成功し、lv0の復号鍵を見つけ出して秘密鍵を計算で算出したようです。Bluediskチームのように単純に情報を共有させてもらったという立場ではないようです。

LV0 keyが公開されてしまうと、実際のところPS3は今後どうなるのでしょうか。

Slashdotフォーラムでmarcansoft(marcan)氏が今回のLV0 key流出について解説していました。marcan氏(本名:Hector Martin Cantero)はPS3シーンではfail0verflowのメンバーとして有名ですが元々はWiiのハッカーチームであるTeam Twiizersの中心メンバーです。WiiのHomebrew ChannelやHackMii Installerなどでご存知の方も多いでしょう。

そのmarcan氏のフォーラムの投稿をベースに、今回の事態をまとめてみました。

以前Geohot氏が公開したmetldr keyはすべてのPS3のファイルの暗号化と復号化を可能にするものでした。

metldr keyが公開されてしまうことでセキュリティ保持のため暗号化してあったモジュールなどのファイルの復号が可能になります。更にカスタマイズして更に暗号化した状態に戻すことでCFWが出来上がります。metldr keyでモジュール読み込み時にベリファイを行いますのでCFWのモジュールがPS3で読み込めてしまうようになります。

ソニーは3.60でセキュリティ保持の目的をなさなくなったmetldr keyの使用をやめ、bootldrを使用するようになりました。そのbootldrをクラックできなかったためPS3のCFWは3.55までで停滞していました。

ここでPS3の仕組みをおさらいします。

コンピュータの起動直後に動作する、つまり起動第一段階とも言える”ブートローダ”はROMの中に書き込まれており、PS3本体ごとに異なる鍵をその中に持っています。

起動第二段階のブートローダがbootldrで、ROMにあるPS3本体ごとに異なる鍵で暗号化されていますが、アップデートができる形態になっておらず、更にどのPS3も”PS3本体ごとに異なる鍵”で復号すると中身は同じものです。このbootldrはLV0でベリファイされて起動します。今回はこの秘密鍵(LV0 key)が流出しました。

つまり、ソニーがセキュリティ向上のために実施するファームウェアアップデートで変更できないところの直後に使っている、PS3の根底に関わる鍵が明かされてしまったことになります。

そのため今後公開されるファームウェアは既に発売されて市場に出回っているPS3で起動するものである限り必ず復号が可能になります。復号が可能なら中身を改変してCFWとして再び暗号化してインストールすることは当然可能です。

4.21のCFWの後すぐに4.25、そして公式に公開直後の4.30までCFW化できたのは必然です。

ソニーが対策を取る手段はただひとつ、ハードウェアの変更のみです。つまり現時点で市場に出回っているPS3には施す手段がありません。つまりPS3 Super Slimのような最新モデルであっても最新ファームウェアで動作するexploitさえ発見されればCFWは可能になる環境が整ってしまったと言えます。

Mathieulh氏がPS3の中にPSPのkirk engine(暗号化エンジン)のキーを発見し、PSPが完全に丸裸にされた後、ついにPSPはファームウェアのアップデートすらされることもなくなり後継機であるPlayStation Vitaに世代交代しました。PS3は今PSPと同じ立場に立たされたと言えます。

Tags: , , ,

  1. massa’s avatar

    すべてのモジュールを読み込めるなら、最近のFWにはPSVについての記述もありそうですね

  2. mamosuke’s avatar

    それは存在する可能性はありますが、PSVのコンテンツ管理アシスタントはVita側で起動しているんですよね。他のはPS3からコピーしたりしているのに。そのへんがちょっと引っかかります。

  3. 173210’s avatar

    それのお陰でPSPのようにPS3やPCからキーの流出が防がれています。
    SCEは外部からのアクセスを鉄壁にして、Exploitなどを探させる緒を作らせないつもりのようです。

Reply

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です