PlayStation3ハッカーが考えるPS Jailbreakの正体

PS3初のMODチップ『PS Jailbreak』は海外での検証が進みどうやら本物のようですが、かねてからPS3のハッキングに取り組んできた人達からすれば思わぬ伏兵登場といったところのようです。PS3ハッキングコミュニティではPS Jailbreakが一体なんなのかなどいろんな情報が飛び交っているようです。すこしまとめてみました。

Lan.stフォーラムのadminでもあり、最近はPS3での活動が目立つMathieulh氏は、PS Jailbreakのニュースが出た後すぐにツイッターでPS Jailbreakについて多くのつぶやきをしていました。ちょうどPS3NEWSというサイトでMathieulh氏以外にもPS3シーンで著名なハッカーの発言などの情報をまとめてくれていましたので翻訳してみます。
【情報源:PS3NEWS】

PS3 Dev Notes on PS JailBreak:
PS JailbreakについてのPS3開発者ノート

Mathieulh: psjailbreak’s so called “Backup Manager” (which is pretty much the only thing available to download on their website) is a debug package including a regular fself compiled with the (massively privately leaked) 1.92 sdk, The package itself is generated with Sony’s official sdk tool (make_package_npdrm revision 1203 probably from that very same sdk) that makes it illegal to share because I am quite sure psjailbreak staff doesn’t have the appropriate license to be using the officialPlaystation 3 SDK and its tools.
Mathieulh: PS Jailbreakのいわゆる”Backup Manager”(製品のウェブサイトからしかダウンロードできない)は(誰かが流出させた)正規の1.92SDKでコンパイルしたデバッグパッケージだ。パッケージ自体はソニーの公式SDKツール(おそらくmake_package_npdrm revision 1203と同じものだろう)で作られたものだ。間違いなくPS Jailbreakのスタッフは公式PlayStation3 SDKとツール群の正規ライセンスをもっていないはずなので配布すること自体が違法行為に当たる。

The binary itself seems to use the usual sce apis when it comes to the gui or copying files over. It does run on a debug console and displays a “nicely” done GUI that lets you “backup” your game to the external or usb hdd and “run” them later on.
バイナリはGUIやファイルコピーに通常のSCEのAPIを使っているようだ。デバッグ機として起動し、ゲームのバックアップを外付けHDDやUSB HDDから起動させるためのGUIが用意されている。

Needless to say the backups wont “run” as their “backup manager” is just a regular fself running with game privileges and doesn’t make use of any exploits that I can think of. Needless to say that if their so called usb dongle is real (which I doubt) it does extensive use of leaked sony’s software and keys/certificates.
言うまでもなくバックアップゲームは”Backup Manager”が起動しているのではなく通常の権限で通常起動されているだけで、なんらかのexploitを利用しているわけではない。彼らの言ういわゆるUSBドングルが本物だとすれば(私はそうは思わないが)、当然PS Jailbreakは流出したソニーのソフトウェアやkeyや証明書を流用していることになるだろう。

Ok, I know enough people that have the dongle to confirm that it’s real even though I don’t have one myself (yet). I believe it to be a USB jig; it’s triggered the same way as SCE’s official version so they must then use an exploit and do some lv2 patches. It’s also likely that they “finalize” (set recover flag to 0) the console at every boot because you always need to use power + eject.
既にドングルを入手した人が多数いて、私は(まだ)持っていないので試してないが皆本物であることを確認していることは分かってる。きっとUSBのジグなのだろうと思う。SCE公式バージョンのジグと同じ方法でのトリガーとして機能しているということだ。で、exploitを利用して何らかのLV2パッチをしているに違いない。電源+イジェクトボタンを押す必要があるようなので多分起動の度に本体を”ファイナライズ”(リカバーフラグを0に設定する)していると思われる。

It also doesn’t convert a retail to debug perse, there is no debug menu and no deci3 (debugging) support as far as I know. Also the fact that it only runs on 3.41 suggest that they do memory patches rather than run another kernel on the console.
また、市販製品版をデバッグ機に変更するものではないので、私が知る限りではデバッグメニューはなくdeci3(デバッグ)サポートもない。3.41でしか起動しないという事実からPS3の他のカーネルを起動させているのではなくメモリーにパッチをしているのだろう。ただ、私自身で試したわけではないので間違っているかもしれない。

RichDevX: I hope nobody gave them money.. appears to be a 48 pin MCU
RichDevX: みんな無駄使いしないで欲しいと思う…たった48ピンのMCU(Micro Controller Unit)だよ。

NDT: It wasn’t actually a locked door, cause i’m sure the hackers cloned the jig module h/w and used it with their sw, so ps3 recognize the usb key like the sony hw itself, it’s looks like a troian horse more than a firmware hack.
NDT: 実際は閉ざされた扉ではなかった。ハッカーがジグモジュールのハードウェアクローンを作ってくるのは間違いないと思うし、それをデバッグ機へのスイッチ代わりにできると思う。それでPS3はそのUSBキーをソニー純正品として認識する。もうファームウェアハックというよりはトロイの木馬にしか見えない。

The problem until now was that no one shared the jig scheme, that’s why no one was able to use this “simply” method. Maybe these hackers have really GOOD contacts.
問題はジグの仕組みを誰も知らないという部分だ。だからこんな簡単な方法でも今まで誰もできなかった。きっとこれを作ったハッカーはソニーととっても素敵な関係を築いたんだと思うよ。

A friend tested the patched manager with his debug and he told me it creates a directory with all the files untouched. Since original files can’t work from hdd there must be some other tool that patch the eboot.
友人がデバッグ機でパッチした”Backup Manager”を試したところ、HDDのアクセス不可能な領域にファイルが入ったディレクトリを作成すると話していた。そのためそのファイルはHDDからは起動させることができず、起動するようパッチするような何らかのツールが必要らしい。

By the way it create a directory with the files. The problem is that the game won’t start because the eboot is still encrypted, maybe the dongle does somthing on the fly…
ところで、ファイルの入ったディレクトリを作成するみたいだが、問題はEBOOTが暗号化されているためゲームは起動できない。多分USBドングルが起動時に何かしているのだと思う。

By the way if the dongle “transform” a retail PS3 into a debug one then it give it the ability to install debug pkgs, this means it’s possible to install homebrew on a retail Ps3 that’s awesome!
もしドングルが製品版PS3をデバッグ機に変換しているのだとすると、デバッグ用パッケージをインストールできることになる。つまりHomebrewのインストールも可能になることになる。それは素晴らしい話だ。

It could also be that port 1000 could be open just like the debug PS3 so it could communicate with a PC (APP HOME + Target manager and so on).
デバッグ機のPS3同様ポートの1000番が開き、PCと通信できるようになる(APP HOMEやTarget managerなど)

I forgot to mention that the debug self can’t be run from a retail unit (without the dongle at least that convert the retail to debug).
言うのを忘れていたが、市販製品ではデバッグは起動しない(ドングルが市販製品をデバッグ機に変換するなら別だが)

By the way it’s impossible to play new games with 1.10 fw cause of the fact new games need an updated firmware because new firmware carry new libraries needed to run the games.
1.10のファームウェアで最新のゲームは起動できない。ゲーム起動に新しいライブラリが必要だからファームウェアをアップデートするわけだし。

Some games just check the fw version in order to let the user to update (while they use old libraries revision to work) the most games instead use new libraries because the developers used them to create the game, so can’t run on older firmwares.
ゲームによってはユーザーにファームウェアのアップデートを促すためにファームウェアバージョンチェックをしている(アップデート前は古いライブラリを使っている状態)。ゲーム開発者はゲーム制作時には新ライブラリを使う場合がほとんどだから、古いファームウェアではゲームが起動しないはずだ。

CJPC: Haven’t tried it, but it looks like it will copy the game on a Debug PS3 but won’t decrypt the executable… so, it’s basically a giant “copy dev_bdvd/* hdd0/*” for lack of a better term.
CJPC: 試してはいないが、PS JailbreakはPS3デバッグ機にコピーされているのだろう。ただ、実行できるように復号化まではされていないっぽい。”copy dev_bdvd/* hdd0/*”してるのでは。

また、SKFU氏は実際にPS Jailbreakを入手してテストを行い、次のように語っていました。
【情報源:StreetskaterFU’s Blog】

I just tested the software they uploaded and can confirm it works so far.
PS Jailbreakの連中がアップロードしたソフトウェアをテストして、動作するのを確認した。
【情報源:StreetskaterFU’s Blog】

I can tell a bit about the backup manager. It seems the software uses bd_emu features to manage the backups. The HDD to use, should have a modified bd emu format, which sets all backups on first position, so the PS3 detects ‘em all. Then you can choose the image to boot via the manager.
Backup Managerについて一言。どうもバックアップを扱うためにbd_emu機能を使うソフトウェアらしい。使っているHDDをモディファイしたbd emuフォーマットにしているようなのでバックアップを検出するようだ。そして起動するバックアップイメージをマネージャーで選択する。

To directly copy and boot a game, the software would need to decrypt all layers on the fly. Meaning it decrypts all executables somehow, else it won’t run. Even on a debug unit.
ソフトウェアとしては、ゲームを直接コピーして起動するためにはオンザフライで全レイヤーを復号化しなければならない。なので実行可能なように何らかの形で復号化をしているはず。そうでなければ起動しない。仮にデバッグ機でもそれは同じ。

The hardware look like a copy of the original PS3 jigstick, used in SONY service centers to repair broken PlayStation3 SKU’s. Someone internal leaked or sold a stick, so they had the chance to reverse and clone the hardware.
ハードウェアの場合は純正のPS3ジグスティックのコピーのようだ。故障したPlayStation3の修理でソニーのサービスセンターが使っているものと同じだ。内部リークかこっそり売り飛ばしたか、何にせよハードウェアを解析してクローンを作るチャンスがあったのだろう。

The stick should boot before the normal firmware does, so it’s hard to patch it. Maybe SONY could update the bootcode to prevent it, set it to a revoke list.
USBジグスティックはノーマルファームウェアが起動するより先に起動するのでパッチで対策することは困難だ。多分ソニーは対策するためにブートコードを変更して無効にするコードリストを設定してくるだろう。

By the way, in all videos they use debug PS3’s to run the software. There is no video showing the actual process booting on a retail PS3 afaik. So I do not confirm that this is true, yet!
公開されたビデオは全部PS3のデバッグ機を使っている。市販版PS3で実際に起動させているプロセスを見せているものは私の知る限りでは存在しない。そのため私としてはこれが本物だという確証はない。

If it’s as true as it looks this time, good job guys!
もし本物だとすると、良くやったぞと褒めてあげます。

数多くのサイトがPS Jailbreakを本物だと証言しているので、今更デバッグ機でしか動作しないことはあり得ないという前提でPS Jailbreakとは一体何なのかをまとめてみます。

・ソニーのサービスで実際使用していたUSBツールが何らかの形で流出したものをベースにしているらしい。ハッカーが研究を重ねて編み出したハッキングとは過程が異なるようだ。
・本来なら起動しないバックアップはデバッグ機としてPS3を起動させることで実現しているらしい。
・市販製品版をデバッグ機とするためのトリガーとしてUSBジグを使っているらしい。
・”Backup Manager”というアプリケーションはバックアップを起動するローダーではないらしいが、バックアップデータの復号化はどこかで実行している。
・アプリケーションはサイトからダウンロードできるが、デバッグ機でしか動作しない。
・同じ機能の製品が数多く今後出回る可能性がある。
・ソニーが対策してくるのは間違いない。

基本的にはソニーの技術の盗用により成り立っている可能性がかなり高く、純粋にハッキングしたとは言えないようです。それだけでも減点対象なのですが(もちろん減点するのはソニーで、減点する点数が多いと対策されてしまうまでの時間が短いと思います)、さらに結果的にまるで違法コピーを起動するためだけに存在する製品だと捉えかねられないような情報の伝えられ方をしているのが非常に残念です。ただ、MODチップというからにはそれも当然ではあります。

DSのFlashcart(マジコン)と同じく、任意の非署名コードの実行=Homebrew起動ができるという製品としてではなくバックアップゲーム(違法コピーゲーム含む)だけに焦点を当ててしまう製品のようにしか見えないため間違いなく一般的にはPS Jailbreakは悪者でしょう。バックアップ起動は不要だとは言いませんが、それはPS3コミュニティとして必要ならば誰かが開発してリリースするはずです。
PS3コミュニティとの接点を持たず日本円で１万数千円以上もする高額製品として販売を企てていることから間違いなく目的は違法コピーを当てにした金儲けです。私から言わせればこんなのは効果の寿命を短くするだけで、せっかくのハッキングも意味がありません。

同じようなジグとして思い浮かぶのはPSPのパンドラバッテリーですが、PSPのパンドラバッテリーは当初”BrickしてしまったPSPを復活させるとができる” “FW1.50へダウングレードできる”といった、ファームウェアを扱うためのものとして登場しました。カーネルモードexploitなしにCFWインストールが可能になったことは非常に革新的でした。バッテリーをトリガーにしているところがPS jailbreakのUSBジグとは異なりますが、同じように「パンドラUSBスティック」みたいなものも、メーカーでの補修時に使っているのであれば可能なのではないでしょうか。個人的にはそちらの方なら触手が伸びます。

もちろん今後はソニーに対策され起動できなくさせられるとPS Jailbreakがアップデートでそれを破るという、DSのFlashcart(マジコン)と同じいたちごっこが繰り返されるのは間違いありません。訴訟を起こされてもHomebrew起動のためのものであれば、仮にそれがローダーの開発によりバックアップ起動ができたとしても勝訴できる可能性が残ります。PS JailbreakにはFlashcart(マジコン)と同じような道を歩んでほしくありません。訴訟による法的圧力にさらされて早々に終息してしまうことだけは避けてほしいものですが、最初からMODチップと呼ばれているためもう遅いかもしれません。

［UPDATE］
Mathieulh氏はツイッターで次のように述べていました。文章ではなくツイッターなので前後のつながりがないと分からない発言は適当に翻訳します。発言は上から時系列順です。

The exact chip for the psjailbreak dongle has been identified, looks like dumping it will be easy.
PS Jailbreakのチップ特定。ダンプするの簡単そう。
That’s because it was based on a leak from our software which we later released once we figured it out.
解析できれば今度リリースする。
RichDevX just found where the actual dongle auth code is. Kudos to him xD We’ll start looking into it asap.
RichDevX氏がドングルの認証コード発見。調べてみるよ。
Well it looks like psjailbreak is likely based on reverse and exploit rather than on a leak, we still wont be sure without one though.
PS Jailbreakはリークされたもの流用というよりリバース解析とexploitがベースだね。モノを持ってないから確定じゃないけど。
Actually we don’t have any dongles yet but we pretty much believe we know what psjailbreak did and it was a smart way to exploit the console
ドングルはないけどPS Jailbreakが何をしているのかは分かった。賢い方法だね。
The psjailbreak guys definitely used Geohot’s exploit, without him it wouldn’t have been possible in the first place.
PS Jailbreakの連中はGeohot氏のexploitを間違いなく使ってる。彼のハックがなかったら最初の段階でダメだったろうね。
You should know by the way that this CAN (and most likely will) be updated/fixed by Sony. Avoid updating to 3.42+ at ALL COSTS.
当然だけどこれはソニーがアップデートで対策可能だ。3.42以上が出ても絶対アップデートしないように。

どうやらPS3のハッカー達がフリーウェアのPS Jailbreakをリリースしそうな流れです。