Nintendo Switch本体で「ニンテンドーアカウント」のパスワードを安全に保存していない可能性があることを、アメリカに本部を置くカナダのメディア「Vice」が報じています。
そこで指摘されていた問題を、実際に筆者の環境でも検証してみました。
ニンテンドーアカウントは、Nintendo Switchやスマートフォンアプリ、マイニンテンドーストアなどで使われるアカウントです。
ちなみに、約16万アカウントに不正ログインの可能性があったとして任天堂が2020年4月24日付けで発表している「ニンテンドーネットワークID(NNID)」は、3DSシリーズやWii Uなどで使われるもので、ニンテンドーアカウントとは別のものです。
セキュリティ研究者のルナ・サンドヴィック(Runa Sandvik)氏が発見し、Viceが報じた今回の脆弱性は、Nintendo Switch本体でニンテンドーアカウントのパスワードを安全に保存していない可能性があるというもの。
具体的には、ニンテンドーeショップのパスワード認証画面で、パスワードの最初の8文字さえ合っていれば、「OK」ボタンの色が変わるため、「パスワードの最初の8文字が正しいかどうかを簡単に判断できる」としています。
もちろんパスワードの最初の8文字を入力して「OK」ボタンを選択できるようになったからといってログインは成功しませんが、最初の8文字が正しければボタンの色が変わるというのが本当であれば、パスワードを本体にヒラ文で保存しているか、最初の8文字をハッシュ化しているかという問題になります。
また、任天堂にパスワードの保存方法について質問した結果、具体的な回答は得られなかったといいます。
実際に筆者の所有するNintendo Switch(バージョン:10.0.2)でパスワード入力を試してみたところ、全く関係ない8文字を入力してもボタンがアクティブ化するため、指摘のとおりの挙動にはなりませんでした。
ただ、任天堂に問題を指摘した時期は掲載されている記事からは判断できないため、記事が公開されるまでの間に修正バージョンが配布されていることも考えられます。わざわざメディアで記事を出している以上、おそらくそんなに経ってはいないような気もしますが。
ニンテンドーアカウントにはパスワード要件がいくつかあり、筆者の環境ではこの要件に一致しないものが入力された場合はボタンが有効になりませんでした。
ニンテンドーアカウントの現在のパスワード要件は、任天堂のサポートページによると以下のようになっています。
- 8文字以上、20文字以内。
- 半角。
- 英字 / 数字 / 記号のうち、2種類以上の組み合わせ。
- その他の条件に関してはエラー表示をご確認ください。
そしてこの「その他の条件」は実際のエラーメッセージをまとめると以下のようなものがあります。
- メールアドレスの一部が含まれたパスワードは設定できません。
- 誕生日が含まれたパスワードは設定できません。
- 同じ文字が連続で使われています。
自分でパスワードを決めるとなるとその他の条件の方に引っ掛かる人も多そうですね。ここでいう「同じ文字が連続」というのは、同じ文字を3回以上連続で使用した場合が該当します。’111’とか’ZZZ’とかが含まれているとダメです。ボタンはアクティブ化しません。
以上の要件をまとめると以下のようになります。
Nintendo Account Password Requirements:
- between 8 and 20 characters
- must consist of only half-width(Hankaku) characters
- must contain at least two character categories among the following:
- Uppercase or lowercase characters
- Digits
- Special characters
- must not contain birthday
- must not contain part of an email address
- must not use same character more than twice
筆者がNintendo Switch本体で試行した組み合わせの一部は以下に示しておきます。
Example | Valid |
Qwertyui | No |
Qwert111 | No |
q1w2e3r4 | Yes |
11111111 | No |
xxxrtyui | No |
123abcde | Yes |
わざわざメディアを利用して問題点を指摘しているので、発見者がパスワード要件を確認していないということはないと思われますが、イマイチ本当かどうかわかりにくいところ。本稿執筆時点では任天堂社員からの情報提供を求めているようです。
筆者はこの記事を執筆しているときにふと「Microsoftアカウントのパスワードは先頭の16文字だけが認証に使われる」というのを思い出して懐かしい気持ちになりました(当時のスラドの投稿)。
【2020/05/24 更新】本稿掲載後、Viceでは今回の指摘が正しくなかったことを認め、元記事でもセキュリティの問題ではなくUIの問題によるものだとして訂正していました。パスワードの要件についても初めて触れていたので、本当に気づいていなかったのかもしれませんね。
Source:Vice