Hackeroneで、kinnay氏がNintendo Switchのシステムモジュールに存在したMan-in-the-middle(中間者攻撃)の脆弱性を報告し報奨金を獲得していたことが公表されていました。
中間者攻撃は通信を行う二者間に第三者が割り込み、通信を盗聴したり、通信に介入したりする攻撃手法です。
kinnay氏がHackeroneに報告したのはNintendo SwitchでSSL証明書を検証するSSLシステムモジュールImportServerPkiに欠陥があり、アプリケーションに偽造されたサーバー証明書を提供できてしまうことで中間者攻撃が可能になってしまうという脆弱性です。
Hackeroneでの履歴を見ると、以下のような時系列で話が進んでいます。
2025年6月6日にkinnay氏が脆弱性を報告
同年6月20日に任天堂が優先度判定
同年7月15日にkinnay氏が報奨金獲得(金額未公表) 任天堂がステータス解決済みに変更
同年7月16日にkinnay氏が情報開示要求
同年8月8日に任天堂が開示に同意し公開
Nintendo Switch 1&2 システムバージョン 20.2.0のリリースがちょうどステータスが解決済みになった7月15日ですので、SSLシステムモジュールの対策が20.2.0で実施されたのは間違いないでしょう。20.2.0の更新内容で該当するものは「いくつかの問題の修正と動作の安定性、利便性を向上させました。」でした。これにSSLシステムモジュールの脆弱性の解決が含まれていたことになります。
今回はkinnay氏が情報開示要求を行い任天堂が合意したことからファームウェアアップデートと結びつく情報が得られましたが、殆どの脆弱性はそうではないでしょう。「安定性、利便性を向上」ほど便利な言葉はないですね。