任天堂が、『スプラトゥーン』と『マリオカート8』にオンラインプレイに関する脆弱性が見つかったためネットワークサービスを一時停止し緊急メンテナンス実施すると発表していました。対応には時間がかかるため、再開時期は未定と異例の発表をしています。
下記Wii Uソフトはオンラインプレイに関する脆弱性が発見されたため、現在緊急メンテナンスを実施しています。
・スプラトゥーン
・マリオカート8
対応に時間を要する見込みで、再開時期は未定です。誠に申し訳ございませんが、何卒ご了承くださいますようお願いいたします。 https://t.co/cQ3JtDhXQC— 任天堂サポート (@nintendo_cs) March 3, 2023
『スプラトゥーン』と『マリオカート8』のネットワークサービスは2023年3月3日 13:30頃から停止されており、現在も継続中です。
これについて、ニンテンドーネットワーク代替サーバーPretendoを運営するPretendoチームがENLBufferPwnの影響だろうとコメントしています。
Nintendo seems to have finally taken down the servers for games affected by ENLBufferPwn, the 3DS/WiiU exploit which allows attackers to gain full console access remotely just by joining a game with them
They do not know when the servers will be back online. Hopefully it is soon! https://t.co/8IcaTwUdS3— Pretendo (@pretendo@pretendo.network) (@PretendoNetwork) March 3, 2023
任天堂はついにENLBufferPwnの影響を受けるゲームのサーバーを止めたみたいです。ENLBufferPwnはゲームに参加するだけで攻撃者がコンソールにフルアクセスできてしまうという3DS/WiiUのexploitです。
サーバーがいつオンラインに戻るのかを明らかにしていませんが、さほど時間はかからないはずです!
ENLBufferPwnは任天堂共通のネットワークコードの脆弱性
で、任天堂が3DS以降のコンソールで共通して使用しているネットワークコードの脆弱性を利用してオンライン対戦を行うだけで任意のコードを実行できてしまうというものです。
共通脆弱性識別子はCVE-2022-47949が割り当てられています。
以前、ENLBufferPwn対象のゲームは以下とお伝えしました。
Mario Kart 7 (v1.2で対策済み)
Mario Kart 8 (未対策)
Mario Kart 8 Deluxe (v2.1.0で対策済み)
Animal Crossing: New Horizons (v2.0.6で対策済み)
ARMS (v5.4.1で対策済み)
Splatoon (未対策)
Splatoon 2 (v5.5.1で対策済み)
Splatoon 3 (2022年後半のどこかで対策済み)
Super Mario Maker 2 (v3.0.2で対策済み)
Nintendo Switch Sports (2022年後半のどこかで対策済み)
ほとんどはゲームの更新データでENLBufferPwn対策されましたが、まだ対策できていないものがリストには存在していました。実は今回サーバーを止めた対象のゲームは未対策だった『Mario Kart 8 』と『Splatoon』なのです。
現時点でENLBufferPwnをハックに利用しようというトレンドはありませんが(Switchに残っていたら利用されていたかもしれませんね)、他のハックとは異なり外部から乗っ取られる可能性もある、未対策だとリスクが伴う脆弱性なので、未対策版ゲームに価値が生まれることはないでしょう。
ENLBufferPwnの情報が広く流れたのは昨年の年末で、任天堂がSwitchファーストパーティタイトルのENLBufferPwn修正を一斉に行ったのは更に前の11月半ばです。
Nintendo Switchソフト『ARMS』の更新データVer.5.4.1の配信を開始しました。更新内容についてはこちらのページをご覧ください。 https://t.co/vaQcadJKnv pic.twitter.com/j13V9YhvYA
— 任天堂サポート (@nintendo_cs) November 15, 2022
Nintendo Switchソフト『スプラトゥーン2』の更新データVer.5.5.1の配信を開始しました。更新内容についてはこちらのページをご覧ください。 https://t.co/zfsV0WChdm pic.twitter.com/hYRz3ny3Nh
— 任天堂サポート (@nintendo_cs) November 15, 2022
Nintendo Switchソフト『スーパーマリオメーカー 2』の更新データVer.3.0.2の配信を開始しました。更新内容についてはこちらのページをご覧ください。 https://t.co/lnRs34DQIt pic.twitter.com/d9Gt60zM9W
— 任天堂サポート (@nintendo_cs) November 15, 2022
Nintendo Switchソフト『あつまれ どうぶつの森』の更新データVer.2.0.6の配信を開始しました。更新内容についてはこちらのページをご覧ください。 https://t.co/wVuWOcd3jT pic.twitter.com/1FLYZiXgUN
— 任天堂サポート (@nintendo_cs) November 15, 2022
今回任天堂は「オンラインプレイに関する脆弱性が見つかった」と、まるで今見つかったので緊急対応します的な表現をしていますが、ENLBufferPwnの話であれば随分以前から分かっていたのに放置していたのが実情です。未対策の『Mario Kart 8 』と『Splatoon』は、少なくとも分かっていながら3ヶ月半もの間放置していたことになります。
アクティブユーザーがさほど多くないと思われるWii Uだから後回しにでもしたのでしょうか。このタイミングで任天堂がWii U版の対策に本気で乗り出したトリガーが何かあったのかもしれません。
eShopからダウンロード出来なくなる影響で3DS/WiiUの人気が一時的に高まるのを予期したんでしょうか…?