fc2ブログ










    ソニー:プレステ個人情報7700万人分流出 ネット侵入

    ソニー:プレステ個人情報7700万人分流出 ネット侵入

    ソニーは26日(米東部時間)、同グループが世界で展開しているゲームや映画などのインターネット配信サービス「プレイステーション・ネットワーク(PSN)」と「キュリオシティ」が外部から不正な侵入を受け、利用者の個人情報が流出したと発表した。サービスの利用者数(登録数)は世界約60カ国で約7700万人、うちアジアは約900万人で大半が日本という。ソニーでは「被害者数など詳細は調査中」としているが、過去最大規模の個人情報流出事件に発展する恐れがある。


    untitled_20110502014307.jpg
    ソニー・コンピュータエンタテインメントの家庭用ゲーム機「プレイステーション3」



     流出した個人情報は、利用者の氏名、国籍、住所、生年月日、電子メールアドレスと会員ID、パスワードなど。ゲームソフトや映画などの購入でクレジットカード番号を登録・利用している顧客も多く、ソニーは「カード情報が流出した可能性も排除できない」と説明。PSNの利用者が最大規模の米国を中心に大手信用調査会社などと連携し、カードの不正利用を防ぐための措置を探っている。

     不正侵入を受けたのは、家庭用の据え置き型ゲーム機「プレイステーション3(PS3)」や携帯型ゲーム機「プレイステーション・ポータブル(PSP)」など向けに06年に始めたゲームソフトなどの配信サービス「PSN」と、ソニーの液晶テレビ「ブラビア」などに映画や音楽を配信するサービス「キュリオシティ」。PSNは会話や対戦型ゲームも楽しめるのが特徴で、全世界的にユーザーが拡大。ソニーはこの事業を次世代の成長戦略の柱とも位置付けていた。キュリオシティは、昨年末から欧米で開始。今年1月から日本でも配信を始めている。

     ソニーによると、17~19日にかけてハッカー攻撃を受け、個人情報が流出。19日に一部の会員情報が改ざんされたことが判明したため、21日からPSNとキュリオシティのサービスを停止し、現在外部のセキュリティー会社が調査を進めている。

     ソニーは利用者に対し「ネットワークにログインする際のパスワードや、セキュリティーコードを含むクレジットカード番号、カードの有効期限などが流出した可能性がある」と注意喚起し、サービス再開後は早急にパスワードを変更するよう求めている。【浜中慎哉、ワシントン斉藤信宏】

     ◇HPに謝罪文
     ソニー・コンピュータエンタテインメントは27日午前、大規模な顧客情報流出を受け、インターネットのホームページ(HP)に「多大なご迷惑をかけ、深くおわびする」との謝罪文を掲載した。ゲーム配信サービス「プレイステーション・ネットワーク」とビデオ配信の「キュリオシティ」に登録されている顧客のメールアドレスにも同様の内容のメールを送ったという。

    毎日新聞 2011年4月27日 8時12分

    ///////////////////////////////////////////

    プレステ情報流出:「ハッカー集団とトラブル」専門家分析

    全世界で7700万人分の個人情報が流出した可能性があるソニーのインターネット配信サービス「プレイステーション・ネットワーク(PSN)」と「キュリオシティ」。情報セキュリティーの専門家は「ハッカー集団とソニー側が国外でトラブルになっていた」と背景を分析している。

     ソニー・コンピュータエンタテインメントは日本時間の21日、ホームページで同日昼ごろからPSNの利用停止を掲載。23日には「外部要因によるとみられる」とハッカーによる不正侵入をうかがわせていた。

     森井昌克・神戸大大学院教授(情報通信工学)は「不確かな情報を出すと逆に混乱する。被害の拡大防止のためにネットワークを遮断したのは正しい対応だったのではないか」とした上で、ソニーとハッカー集団とのトラブルを挙げる。

     PSNのセキュリティーの根幹情報をハッカーがブログで公開したことを受け、ソニーは1月、国外でハッカーを提訴。これに反発したハッカー集団が「情報は自由だ」とソニーへのネット攻撃を宣言し、欧州のプレイステーションのサイトなどが攻撃を受け、閲覧できなくなっていたという。

     情報セキュリティーコンサルタント「S&Jコンサルティング」(東京都港区)の三輪信雄社長は、ハッカー集団は内部告発サイト「ウィキリークス」と関連があると指摘する。昨秋、マスターカード、ビザ、アマゾンなどがウィキリークスの寄付金集めやサーバー利用のサービスを中止したところ、ハッカー集団がネット攻撃してサイトがダウン。三輪社長は「ウィキリークスは否定しているが、ハッカー集団は支援していたという。日本の企業が狙われたのは初めてだが、ハッカー集団は互いにどこの国の誰か知らずに同じ対象を攻撃する。ターゲットは広がる一方、指導者はおらず取り締まりは難しい」と話す。

     森井教授によると、ハッカー集団はPSNの停止と関係はないという声明を出しているが、「同調者が実行した可能性はある」という。森井教授は「国内には不正アクセス禁止法があるが、国際的な対応は難しい。企業は個人情報をネットで扱わざるを得ず、厳重に管理するしかない」と指摘する。

    毎日新聞 2011年4月27日 12時20分

    ///////////////////////////////////////////

    プレステ個人情報流出:ソニーに危機…成長戦略打撃

    ソニーのインターネット配信サービスから、会員の個人情報が大量に流出した問題は、ゲームや映画をネット経由で提供する「ハードとソフトの融合」戦略を掲げる同社に大きな打撃を与えそうだ。さらに、「発覚から発表までなぜ1週間かかったのか」との批判がインターネット上や海外メディア、米議会にまで拡大。後手に回った対応が、顧客離れを加速させる可能性も出ている。

     ◇公表遅れ批判拡大
     「セキュリティーが甘い」「もうほかの(会社の)ネットワーク(サービス)に移る」--。個人情報流出の発表を受け、米国や欧州のソニーのインターネット配信サービス「プレイステーション・ネットワーク(PSN)」の掲示板には、利用者の抗議の書き込みが殺到した。

     怒りの背景には、流出問題へのソニーの対応の遅さがある。ソニーによると、PSNがハッカー攻撃を受け、会員情報の改ざんが判明したのは19日。その後、PSNのサービスを停止し、外部の専門会社による調査も始めていた。

     ゲーム業界に詳しいエース経済研究所の安田秀樹アナリストは「ネット上では27日の発表前からハッキングの疑いが取りざたされていた。発覚から発表まで1週間もかかるのは、過去の他の情報流出の例と比べても、遅すぎ、利用者保護や被害拡大防止の観点から問題」と指摘する。米国でも民主党のブルメンソール上院議員が「なぜ、データ流出を利用客に知らせなかったのか」をただす書簡をソニーに送った。個人情報流出は、ソニーの評判のみならず、業績にも大きな影を落としそうだ。

     ソニーのゲーム専用機は現在、安価なソフトでゲームも楽しめる米アップルなどのスマートフォン(多機能携帯電話)に押され気味。主力のテレビ事業も韓国勢などとの価格競争が激しく、赤字が続く。

     苦境を打開するためにハワード・ストリンガー会長兼社長が打ち出したのが「ハードとソフトの融合」戦略だ。PSNなどを介してゲームや映画、音楽などを配信し、端末販売との相乗効果を図る。個人情報は今回、このサービスから流出。しかも、過去最大規模の個人情報流出事件となる可能性もあり、ストリンガー戦略そのものの信頼が失われかねない事態となっている。

     ソニーは現在停止中のサービスを1週間程度で復旧させるとしているが、大和証券キャピタル・マーケッツの白石幸毅アナリストは「情報流出に伴う被害が出てくれば、利用者への補償問題に発展しかねない。システム補修などの費用もかさむと見込まれる。早急に個人情報の管理体制を再構築し、安全性を周知徹底できるようにしないと、ユーザー離れは避けられない」と話す。【浜中慎哉】

     ◇個人情報一元的に監理か
     PSNは、ゲームデータと会員の個人情報を別々のサーバーで管理している。今回の情報流出について、ゲーム業界に詳しい立命館大学映像学部の新清士講師は「ソニーからの情報がないので正確な分析はできないが、これだけ大量のデータを奪われたのは、高度な知識を持つ技術者が、(情報管理用)サーバーに直接、攻撃をしかけたのだろう」と推測する。

     また、全会員のデータが奪われた可能性が出ていることについて「個人情報がほぼ一元的に管理されていたのではないか。(日米欧など)地域ごとの管理なら全データは奪われないはず。もし一元管理していたとすれば、お粗末と言われても仕方ない」(大手ゲームメーカー)との指摘も出ている。

     ウイルス付きメールや、ソフトの不法ダウンロードを通じて不正ソフトが侵入しやすいパソコンと違って、ゲーム専用機はこれまで安全性が高いとされてきた。だが、今回の事件はハッカーに狙われれば、ゲーム機も同じ危機にさらされかねないことを示した。電機メーカーが今後の成長戦略の柱に据える、携帯電話やタブレット端末向けのネットワークゲームも含め、利用者保護策の強化が求められそうだ。

    毎日新聞 2011年4月27日 21時37分

    ///////////////////////////////////////////

    プレステ情報流出:米国の利用者がソニー提訴

    ソニーのゲーム機「プレイステーション(PS)3」の利用者の個人情報が流出したとされる問題で、米国の利用者がソニーの関連2社をカリフォルニア州の裁判所に提訴したことが27日、分かった。米メディアが報じた。

     米アラバマ州の男性が、ソニーが利用者の個人情報を守る適切な配慮を欠いたとして、損害賠償の支払いを求めた。被害者全体への賠償を求める集団訴訟とすることも要求した。

    毎日新聞 2011年4月29日 0時37分

    ///////////////////////////////////////////

    ソニー,PSNへの不正アクセスに関する記者会見を実施。PSNのサービスは段階的に再開

    ソニーは,PlayStation NetworkとQriocityの接続障害/不正アクセスに関する説明会を,本日(2011年5月1日)実施した。登壇者は,ソニー代表執行役 副社長 コンスーマープロダクツ&サービスグループ プレジデント,ソニー・コンピュータエンタテインメント 代表取締役 社長兼グループCEO 平井一夫氏,ソニー業務執行役員 シニア・バイス・プレジデント チーフ・インフォメーション・オフィサー ビジネス・トランスフォーメーション/ISセンター長 長谷島眞時氏,ソニー業務執行役員シニア・バイス・プレジデント 広報・CSR 担当、広報センター長 神戸司郎氏の3名だ。

    事前に告知されている主な内容は以下の4点。

    •個人情報漏洩の事実関係と調査状況
    •個人情報管理体制
    •お客様への対応について
    •サービス再開スケジュール

     説明会で公開された本件の経緯,PSNのユーザー数や,漏洩したと見られる個人情報は以下のとおりだ。なお,現在は,FBIへ犯罪行為について捜査依頼を行っているとのこと。

    •米国時間19日にサーバーで不正な挙動を確認
    •社内調査で,米国時間17日~19日にかけて不正アクセスがあったと判明
    •同20日,IT情報セキュリティ専門会社に依頼し,共同で実態の把握に着手。調査のためのミラーサーバー作りに着手
    •同24日,解析調査会社への依頼
    •同26日,サイバーテロ行為が行われ,個人情報が漏洩した可能性を確認

    日本におけるPlayStation Networkユーザー数:742万7038人


    ●漏洩したと見られる個人情報
    •氏名
    •性別
    •住所(都道府県,市町村名,電話番号)
    •国名
    •Eメールアドレス
    •生年月日
    •PlayStation NetworkおよびQriocityログインパスワード
    •PlayStation NetworkオンラインID


    ●漏洩の証拠はないが漏洩の可能性があるとして注意喚起した個人情報
    •購入履歴や請求先住所を含むプロフィールデータ
    •PlayStation NetworkおよびQriocityログインパスワード照合時の質問内容
    •クレジットカード番号(※セキュリティコードは含まず)および有効期限
     ※セキュリティコードの漏洩はなく,クレジット不正利用の形跡はない」

     また,ソニー株式会社 業務執行役員 シニア・バイス・プレジデント チーフ・インフォメーション・オフィサー長谷島氏によってPSNのセキュリティについて以下の説明がなされた

     ウェブサーバ,アプリケーションサーバ,データベースサーバの3層構造。各サーバにはファイアウォールが設置されているが,アプリケーションサーバの脆弱性を突かれた。アプリケーションサーバに攻撃用ツールが置かれ,そこからデータベースサーバのアクセス権を奪取し,情報漏洩の可能性を否定できない状態になった。

     続いて,ソニー・コンピュータエンタテインメント 代表取締役 社長 兼 グループCEO 平井一夫氏によって説明された,サービス復旧の目処,今後の対策とお詫び,経営戦略に関しては以下のとおり。


    ■段階的に復旧されるサービス内容
    •PlayStaion 3およびPSPでのオンライン対戦,PlayStation Networkへのログイン認証が必要なタイトルおよびダウンロードされたタイトルのゲームプレイ
    •PlayStation Networkのビデオ配信サービスでダウンロード済みのレンタル映像コンテンツのPS3,PSP,Media GOでの再生(有効期限内に限る)
    •音楽配信サービス「Music Unlimited powerd by Qriocity」のPS3およびPSPでの再生(現行の会員限定)
    •PlayStation Plusの各機能
    •PlayStation Home
    •アカウント管理,パスワードリセット
    •トロフィーなどのフレンド機能
    •チャット機能
    なお,PlayStation StoreおよびQriocityのサービスは,今月中の全面再開を目指しているとのこと。


    ■対策
    •サンディエゴにあるサーバーを,よりセキュリティレベルの高い,別の都市にあるデータセンターへ移した(以前から計画されていたことを前倒し)
    •新たな不正アクセスに対するソフトウェアの自動的なプロセス監視を行う。不正アクセスや不審操作を検証する。また,ファイアウォールを刷新
    •PS3システムソフトウェアをアップデート
    •全ユーザーのPSNアカウントのパスワードを変更
    •クレジットカード不正使用防止のため,アカウントに登録しているクレジットカード情報の確認をユーザーにお願い
    •インターネット上でPSNやQriocityのパスワードと同じパスワードを使っている場合は,それらを変更するようお願い
    •いかなる場合でも,SCEからクレジットカード情報など個人情報を聞き出すことはない
    •クレジットカードの再発行を希望する場合はサポートする
    •「Chief Information Security Officer」(以下,CISO)を新設。長谷島氏が就任


    ■お詫び
    •特定コンテンツの無料ダウンロード
    •定額制サービスパッケージ「PlayStation Plus」の30日間無料加入。加入者には30日間無料提供
    •Music Unlimited powered by Qriocity会員向けに30日間無料提供
    •これ以外にもさまざまなサービスを提供。地域ごとのサービスもある

    ■今後の経営戦略
    ネットワーク戦略はソニーグループの最重要課題

    •SNEやグループ全体の情報管理体制の一層強化
    •アノニマスと名乗る団体からのサイバー攻撃が行われてきた。自社でのセキュリティ強化に加え,捜査当局や関係諸機関と協力し,違法な情報搾取行為に対しては毅然とした対応を継続する

    われわれが最も大事にすべきユーザーの皆様に多大なるご迷惑をおかけしたことを心よりお詫び申し上げます。(平井氏)


     説明会の最後に行われた質疑応答では,以下のようなやりとりが行われた。

    Q.クレジットカードの不正使用に関する懸念があるなか,本当に一週間で再開できるのか? アメリカからは質問状が届いたりもしているようだが?

    A.(平井氏)クレジットカードの登録件数や約1000万枚。クレジットカードの不正使用があったという報告は今のところ聞いていない。アメリカから質問状をもらっている。それに対しては真摯に回答する。各国各地域でいろいろな調整が必要になることはあり,その場合は当然,条件を満たしてから再開することになる。ただ,「一週間以内を目処に」という考えは変わっていない。
     クレジットカード再発行費用や,停止していた分の売り上げなど,経営にどれくらいの影響があるのか今のところは分からない。分かったらあらためてお知らせする。


    Q.アプリケーションサーバの脆弱性詳細は。どういうシステムだったのか?

    A.(長谷島氏)アプリケーションサーバ側の機器の脆弱性。世の中でよく知られていた脆弱性だったが,SNEIの担当者は認識していなかった。そこでCISOを新設した。システムの詳細は,そこを突かれると問題なので公開できない


    Q.PS3のシステムアップデートの目的は?

    A.(長谷島氏)パスワードの変更をお願いするフローを追加するのがメイン。データセンターの移設,不正アクセスへの対策も含めて,セキュリティを万全にしてから再開したいため,システムアップデートを行う。


    Q.エンドユーザーへの保証,そのほかは?

    A.(平井氏)クレジットカードの再発行手数料は先ほど述べたが,地域によってはクレジットカード情報も含めて個人情報不正使用に関する保険システムがあり,そこではそれを無償で提供したりする。地域ごとに一番いい方法を提供したい。個人情報保護に関して地域別に展開したい。


    Q.海外でソニーの情報開示体勢について遅いと批判が高まっているが?

    A.(平井氏)不正侵入があった時点でサービスを停止し,その時点で不正アクセスの被害が広がらないようにした。PSN&Qriocityの大きなシステムを3社と共同で行ったが,それが膨大な作業になった。ある程度確度が上がったところで,お客様には情報を提示させていただいた。
     サービスの停止には,段階的な停止作業があるため時間がかかったのは事実だが,膨大なデータの解析に時間がかかったのが大きい。なるべく確度の高い情報をお客様にお届けしたいと判断したがゆえのスケジュールである。Sony Tabletを発表した時点では,確度の高いデータをお伝えできる状況にはなっていなかった。


    Q.パスワードが漏洩したのはなぜか? 

    A.(平井氏)クレジットカード以外の情報は,さまざまなセキュリティ策が講じられていたのは確かだが,暗号化されていなかった。クレジットカード情報はほかの場所にあり,それは暗号化されていた。
    ※長谷島氏により,「(クレジットカード以外の情報について)暗号化はされていないがハッシュ化は行われていた」と訂正


    Q.今回の件で仮にサービスを解約してほしい,記録されている個人情報を抹消してほしいという要請があった場合はどのように対応するのか。パスワードの変更時に変更しない人がたまにいるが,こういったことは防げるのでしょうか。

    A.(平井氏)PSNやQriocityの解約を望んだ場合は,地域ごとにシステムは異なるが,真摯に対応する。パスワードは,Webの告知などを使って,頻繁な再設定(=変更),同じようなパスワードを流用しないことなどを,個人情報保護の観点からお願いしていく。システムとして同じパスワードを設定できないようにしているかどうかは,していないと思うが,正確なところを確認してご案内する。


    Q.大規模なハッキングは起こりえるが,経営リスクとしてソニーはそれをどのように織り込んできたのか。また,海賊版対策が必要なハードウェアにおいて,そういった組織とどう相対していくのか。

    A.(平井氏)2番目について,PlayStationのビジネスモデルは,さまざまなソフトウェア,コンテンツを,ファースト&サードパーティから発売してもらうことになる。このエコシステムが崩れてしまうようなハッキング行為,海賊版が動くような行為は,健全なビデオゲーム業界のベーシックなところを壊してしまうので,安全なプラットフォームを提供するプラットフォームホルダーとして,断固な姿勢で挑んでいかねばらない。
     ソニーとしては,大規模なハッキングに対してはこれまでも,エンドユーザーの情報を保護していく対策を行ってきた。ただ,不備はあったはずであり,今後はシステム全体を見直さなければならない。

    (神戸氏)アノニマスを名乗る集団から,世界中のソニーのネットワークに対して繰り返しいろいろな攻撃があった。長谷島を中心に,最大限の防御態勢を敷いてきたのは事実。しかし,ネットワークサービスを根幹にしている以上,最大限の防御を行っていかねばならないが,ネットワーク社会においてソニー一社で対策をしていくのは難しいかもしれない。関係するグループ,業界,司法当局とも調整して,真剣に取り組んでいきたいと考えている。


    Q.金銭的な保証は考えているのか?

    A.(平井氏)お客様の情報を保護する観点からの施策と,ネットワークサービスが止まってしまったことへの無償提供は分けて考えている。補償についてはクレジットカード情報の漏洩の根拠がない,不正使用の実績がないという状況だが,不正使用が確認されれば,個別の対応をさせていただく。


    Q.経営責任をどう考えているか?

    A.(平井氏)まずはいかにしてソニーのネットワークサービス,ネットワークコンテンツを信頼してもらうかが重要。そこをもう一度いただけるように持って行くのが重要だと考えている。


    Q.これまでの攻撃との違いは?

    A.(神戸氏)一つのサーバに大量のデータを送り込んでダウンさせるとか,入手した個人情報を流すということが典型で,それに対しては長谷島を中心とした対策をしてきたが,SNEIの対応が甘かったといわれればそうかもしれない。

    (長谷島氏)アノニマスからの攻撃に対してはグループを上げて対策してきた。グループ全体として情報を共有し,対応を行ってきたが,方法については抜本的な見直しをしなければならない


    Q.すでにPSNの解約は始まっているのか?

    A.(平井氏)PSNは全世界で7700万アカウントあるが,それは月額課金があるサービスではなく,PlayStation Plusのみが課金対象となっている。課金サービスとして運営してこなかったため,退会というシステムはこれまで用意してこなかった。ただ,ウォレットというシステムを使った購入システムを設けてきたので,PlayStation Plusやウォレットの残金をrefundするようなことは,個別に対応する。実際のところ,コールセンターへの質問はクレジットカードや個人情報に関するものがほとんどで,退会に関する話はほとんどない。


    Q.日本の警察からの問い合わせはきているのか?

    A.(平井氏)我々が認識している限りはない。各国の捜査当局からの連絡は捜査協力依頼がメインで,それはいくつかもらっている


    Q.PlayStation Plusの30日間無料サービスを金額に換算するといくらくらいなのか。

    A.(平井氏)地域によってサービスが異なるので一概には言えない。


    Q.再発防止のために必要なこととは?

    A.(長谷島氏)データセンターそのものの堅牢性にも見直しが必要。脆弱性は,必ずしも発見のたびに対応できるわけではない。総合的に対処していく必要がある。


    Q.PSNに繋がっているPS3やPSPの数。Qriocity利用者数は?

    A.(平井氏)3700万台くらいが接続されている。インストールベースなら5000万台。PSPは1600万台前後が接続されている。Qriocityのほうはこれから発展していくサービスである。


    Q.4月27日に事実関係は分かったはずで,なぜその段階で会見しなかったのか?

    A.(平井氏)実際問題として4月27日の段階で発表した「漏洩の可能性のある情報」は,その時点で判明していたもの。ただ,会見にあたっては「再開に向けてどういうスケジュールか」「再開にあたってどうサービスを展開するのか」「個人情報保護に向けてソニーがどう動くのか」といった点について情報をまとめつつ,保険会社などとも協議するなどして,最短のタイミングになったのが本日。


    Q.侵入はどのように行われたのか。

    A.(長谷島氏)今回の手口は,ファイアウォールでは検知できない,いわゆるトンネルで,正常なトランザクションとして入って,出て行くタイプ。従来の仕組みでは発見できなかった。当然,再発防止に向けたセキュリティシステムの導入,実施を行っている。詳細はセキュリティの都合上お話できない。


    Q.今年の頭にルートキー流出の問題があり,不正プレイが明らかになった。対策にはPS3の全面的なアップデートが必要だった。クレジットカード不正事件もあったが,本当に安全なPSNを再開できるのか?

    A.(平井氏)セキュリティレベルは,ネットワークとPS3の両方で可能な限り上げる。システム側もそうであり,PS3側もそうだが,不正プレイを可能にするものなど,本来想定されていない,著作権を無視するようなものが出てくると思われるが,それには対策していく。


    Q.個人の情報が漏洩したことに関する補償をどう考えているのか。退会について,27日まではできないとしていたのに,28日に「退会したい場合は連絡してください」と書き換えていたが,これはどうなのか。

    A.(平井氏)従来は,退会にあたって,ウォレットの中身を使い切ってもらっていたが,今回はrefundについて個別に対応する(システムとしては対応していないので)。個人情報が漏洩した可能性については申し訳ないと思っており,それが実際の被害につながった場合には,個別に対応させていただきたい。


    Q.アノニマスは「今回の件は関係ない」と声明を発表しているが,本件はアノニマスと関係があるのか?

    A.(平井氏)繰り返してきたとおり,アノニマスと不正侵入との関連は定かではない。背景として,アノニマスの動きはあったが,今回の事件と直接的,間接的に関連すると示唆するものではない。

    4gamer.net 2011/05/01 13:10

    ///////////////////////////////////////////

    個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報

    ソニーおよびソニー・コンピュータエンタテインメント(以下,ソニー)は,本日(2011年5月1日),ソニー本社で「PlayStation Network」および「Qriocity」への不正アクセスに関する説明会を開催した。

     発表の概要や質疑応答の内容については,すでに速報でほとんどが紹介されているので,ここでは重要なポイントをまとめつつ,改めて内容を確認してみたい。

    不正アクセスの概要

     PlayStation Network(PSN)などを管理しているのは,アメリカに本拠を置くSony Network Entertainmentだ。簡単に示されたネットワーク構成は以下の図のようなものとなる。


    untitled_20110502021155.jpg


     Web層の背後にアプリケーションサーバーがあり,そのさらに後ろにデータベースがある。通常,ユーザーとのやりとりはWeb層を経由し,フォームなどの送信でアプリケーションサーバーにデータを送るものと思われる。今回は,アプリケーションサーバー部分の脆弱性を突かれてシステム内部に侵入を許し,内部にバックドアを作成され,そこからサーバー内にハッキングツールを持ち込み,データベースから情報を抜き取ったと思われる。
     「セキュリティ上の問題なので」ということで,対策済みのはずのものでも具体的な内容も明かされなかったものの,正常なトランザクション中にコマンドを混ぜ込んでといった表現がなされていたので,おそらくはクロスサイトスクリプティングのような手法が使われたのではないかと思われる。


    untitled_20110502021337.jpg


     まず問題となるのは,アプリケーションサーバーの脆弱性が放置されていたことだ。これは既知のセキュリティホールだったとのことで,システム管理に根本的な問題があったのではないかという疑問が湧いてくる。
     PSNくらいの規模のオンラインサービスともなると,そうそうなことでは止めるわけにはいかない。オンラインゲームだと,パッチが当たったら不具合で再メンテ……などということを経験したことのある人も多いのではないかと思われるが,これだけのシステムともなると,そんなことは許されない。パッチ前に十分検証を行ってから導入するのは当然であろう。ただ,今回は検証のタイムラグによるものという雰囲気ではなかったのと,この事件を受けて新たに情報管理の責任者が置かれた経緯などからも分かるように,もともとのセキュリティ管理が甘かったというのは,おそらく間違いないと思われる。

     クレジットカード情報についても,データベース上に暗号化されて記録されている。ネットワーク構成図からみるに,一般のデータベースとは,とくに分けられていないようである。それでもクレジットカード情報が漏洩した可能性が低いとしている点の根拠については,「該当レコードへのアクセスが確認されなかった」からとのことだった。エンタープライズ向けのデータベースソフトウェア(例えばOracle 10以降)では,どのようなアカウントからどこのレコードが参照されたか,どのレコードの参照を許可するかなどを細かく設定できる製品があるので,そういったものが使用されているのだろうと推測される。
     これに対して,アカウント情報については,かなりの確度で情報流出があったとされているので,実際に不正侵入による該当情報へのデータベースへのアクセスが確認されているのは間違いない。
     ただし,このような不正侵入を行った犯人は,かなり高度な技術を持つ侵入者と見られる。そういう手合いだと,ログから侵入の痕跡を消すなどということは当たり前にやってくるので,これだけを根拠に流出していないとするのは難しい。ソニー側も,低いながらも流出の可能性があることは認めている。

     不正アクセス発生後,アメリカでもトップクラスの専門企業3社を動員して解析にあたったとのことで,想像されるログの量などを考えると,不正アクセスの概要発表で10日というのはかなり早いレベルといえる。ただ,個人情報流出の事実などについてはもっと早い段階で判明していたとのことで,サービス再開などの目処を立ててからの発表というのは,悠長すぎるといわれても仕方がないだろう。



    問題点はいかに対処され,どう強化されていくのか



     今回の事件が発生して以降,PSNは,サーバーを管理しているデータセンターを変更している。それ以前から移転の計画があったとのことだが,より強固なデータセンターに移し替えたとのこと。プロセス監視やリソース監視の強化とファイアウォールの増設が行われている。
     これらサーバー周りとは別に,PlayStation 3のファームウェアアップデートも行われたのだが,これは,主にネットワーク接続時にパスワード変更を促すためのものだそうだ。

     サーバープログラムのセキュリティホールは,既存製品を使っている限りは続々と見つかってくるので,脆弱性の発見からパッチ当てまでのタイムラグがゼロに近づくことが望ましい。今後もセキュリティ対策が即時とはいかない……かのような気になるコメントもあったのだが,その未対策期間をフォローするためにモニタリング機能などの強化などが行われるのだろう。

     犯人の正体や目的などについても,現時点では不明のまま。サーバーの設置場所がサンディエゴで,Sony Network Entertainmentがアメリカ企業であることもあり,今回の不正アクセスの捜査はFBIによって進められているという。
     会見では,事件の直前に起きたハッカー集団Annonymousのサイバーテロを背景情報として挙げていたが,関連性は不明とのこと。ただ,Annonymous自体は関与を否定しており,彼らによるサイバーテロの具体例としてソニーから紹介されていたのが,


    •大量のメールを送りつける
    •ネットからソニー重役の家族の個人情報を拾ってきて晒す
    •世界各国のソニー直営店前で座り込みをする

    といった微笑ましい内容であることからも,今回の事件とはかなりレベルが違うようにも感じられる。



    サービス再開に向けてユーザーがすべきこと



     PSNは,現在データセンターを移し,セキュリティを強化した状態で1週間以内を目処に一部サービスの再開が行われる見込みだ。

     まず,4月27日以降に告知が行われ,クレジットカードの引き落とし履歴などに注意を促すとともに,PSNと同じIDとパスワードを使ったサービスでは,パスワード変更を強く推奨していくという。PSNのパスワード変更は,利用者全員が必須となる。この際,アカウント登録時に使用したメールアドレスが必須となるので,すでにプロバイダを変更しているなどという人は,個別にサポートに問い合わせることが必要になると思われる。

     また,クレジットカード情報が流出した懸念が拭えないことから,希望者にはソニーの負担でクレジットカードの再発行のサポートなどが行われる。
     完全にサービス体制の復帰が行われるのは5月中を見込んでいるという。






    不透明な個人情報流出への補償

     今回の会見で最も気になった点が,個人情報流出の補償についてだ。会場で,平井氏が述べたユーザーへの補償は,


    1.クレジットカード情報の漏洩は確認されていないが,確認され次第,個別に補償。クレジットカードを再発行したいという場合には,手数料を負担
    2.サービス停止期間の補償として,無料コンテンツの配信や30日間の有料サービスを無償で提供

    の2点だ。

     7700万ものアカウントの個人情報流出という,今回のメイン事案に対しては,あまり補償の必要を感じていないようだった。質疑応答で何度か確認されたのだが,そのたびにクレジットカード情報の話を返しており,個人的な印象だが,個人情報の重要度はほとんど認識すらされていないようだった。
     個人情報が流出すると,どうなるのか? まずスパムメールが多くなり,個人情報をキーとして別のアカウントでの被害が予測される。いろいろなサービスで同じIDとパスワードを別サービスで使い回すという人は意外と多く,過去の国内のオンラインゲームでのアカウントハックの多くが,そのパターンだったりする。それを考えると,今回の流出事件はPSNに留まらない広範なアカウントハック被害を派生させる可能性も高い。

     現状では,以前のパスワードのままの再設定を禁止するような措置もとくに取られていないようで,「パスワードを変えてください」と告知すれば,それで解決するかのような,少し事態を甘く見ているふしが窺える。ほぼ確実にIDとパスワード情報が流出しているとなると,一番大きな二次災害が出そうなのはオンラインゲーム業界であろう。身に覚えのある人は対策をしておこう。

     では,ソニーは個人情報に関する被害については,どのように対処するかというと,クレジットカード情報と同じく「確認され次第,個別に補償」というスタンスだ。とりあえず,現状では,個人情報・クレジットカード情報ともに,流出による被害報告はされていないという。金銭的被害以外はほぼ考慮されていない雰囲気ではある。人によっては,流出というだけで精神的苦痛を感じたり,果てはPTSD(心的外傷後ストレス障害)を起こす人だっているかもしれない。少なくとも,ほぼ全員が嫌な思いをしているのは間違いないのだ。
     クレジットカード情報の流出は,もし発生したとしたら一大事であり,ソニー側として重視するのは分かるのだが,ユーザー目線で見れば個人情報はかなり重要な項目であり,ここは具体的に補償を示しておいたほうがよかった局面といえるだろう。
     もっとも,あくまでも個別対応というだけで,決して補償しないわけではなく,きっと篤く補償してくれるのだろうが,数千万人に対してきちんと個別に対応するといわれても,正直言って真実味はまったく感じられない。

     ソニー重役の個人情報が流された件をサイバーテロ扱いの被害として挙げているのとは好対照の対応といえる。とりあえず,謝るのは人として当然だろうから,謝罪しにこいと言われたらどう対応するのだろうか。多くの会社が,個人情報流出での補償で,個別補償をむしろ避けているのにはちゃんと理由があるのだ。
     また,前述のように,クレジットカード情報の流出についても,ソニー側は可能性を完全には否定していない。日本国内ではそうそうないだろうが,アメリカあたりだと,とりあえず訴えてみるのが当たり前なだけに,今後の展開が気になるところだ。

     大規模個人情報流出が大事件扱いされたのも昔の話で,日本だと最近はみんな慣れてきて,かなり大規模なものでも「またか」で済まされてうやむやになるものも多いのだが,今回は世界規模の事件なのに,同じようなうやむや化の対応が取られているように思え,どうにも危機管理意識の薄さを感じざるをえない。今後,ソニーグループでは,ネットワーク依存型のサービスを多く始めるとのことでもあり,今後登場が予定されているNGP(Next Generation Portable:仮称)でも,ネットワークが重要な位置を占めるという。こんな対応で大丈夫か? と,若干不安の残る会見であった。


    untitled_20110502022008.jpg


    4Gamer.net 2011/05/01 21:44

    ///////////////////////////////////////////

    ソニー情報流出、FBIに捜査依頼…会見し謝罪

    ソニーは1日、ゲームなどのインターネット配信サービスからの個人情報流出問題で初めて記者会見を開き、平井一夫副社長が「利用者に多大な迷惑をかけた」と謝罪した。

     ソニーは、米国内でのハッカーによるサイバーテロが原因だと断定。米連邦捜査局(FBI)に捜査を依頼したことを明らかにした。

     ソニーは全ての利用者にパスワードの変更を要請した。今後はセキュリティー機能を強化した上で、1週間以内に一部のサービスを再開し、今月中にはサービスを全面的に再開する。利用者へのおわびとして一部の音楽やゲームなどのサービスを無料で提供する。

     ソニーは外部からの不正アクセスを防ぐため三重の防御システムを構築していたが、ハッカーにより個人情報を保存するサーバーの欠陥を見抜かれ侵入された。北米、欧州、アジアのサービス利用者約7700万件の名前や性別、住所、メールアドレス、サービスに接続するIDやパスワードが漏えいした恐れがある。

     このうち約1000万件の登録があるクレジットカード情報については「漏えいしていないとは宣言できない」(平井副社長)と説明、会員にカードの利用履歴の確認を求めた。ネット決済に必要なセキュリティー番号は流出していないとみられ、現在まで不正利用などの被害は報告されていない。ただ、ソニーはクレジットカードの再発行に必要な手数料を負担する。また、実際に「不正利用の被害が確認された場合は補償する」(同)方針だ。

    2011年5月2日01時31分 読売新聞

    ///////////////////////////////////////////

    情報流出で初被害?豪男性に不正請求

    オーストラリアの公共放送ABC(電子版)は1日までに、同国南部アデレードに住むソニーの「プレイステーション3」の男性ユーザーが最近、約2千豪ドル(約18万円)分のクレジットカードの不正請求を受けていたと伝えた。

     ABCは、ソニー+のネットワークサービスから個人情報が流出した恐れがある問題に絡み、実際の被害が判明した初のケースの可能性があると報じているが、ソニーは「把握していない」としている。

    日刊スポーツ 2011年5月1日18時32分

    ///////////////////////////////////////////



    ハッカーによる攻撃、情報流出であるのは事実だろう。
    でも、ソニーがハッカーに対して煽ってしまったため、世界中のハッカーがゲームを始めてしまった。
    これは、米グーグルが中国からのサイバー攻撃と同じ潜入方法だ。

    個人情報管理に関しては、ソニーの危機管理の脆弱性をを突かれてしまった形だ。

    1.世界中のユーザーを一元管理していたこと。
      情報を管理する側にしてみれば1箇所にまとめた方が楽だが、突破されると全てが手に入ってしまう。
    2.サーバーOSの既知の脆弱性パッチを当てていない。
      サーバーOSによってはセキュリティパッチを当てることにより、サービス提供できなくなる事がある。
    3.自社内で浄化制御ができていない。
      DBアクセス記録を消され、足跡が残されていないため、履歴だけでは分からなかった。
      調査を外部に依頼し、ようやく事件が発覚した。

    これらの対応としては、

    1.データの正規化と暗号化が必要。同時にテーブルを複数サーバーに振り分ける。
    2.セキュリティパッチの検証を早急に行い、既知の脆弱性をふさぐ。
    3.独自の危機管理スキームを打ち立てる。


    DB管理者のIDを定期的に変更したり、過去の検証用ID管理なども行い、不要な管理者権限IDを削除する
    必要があるし、管理者権限IDのワンタイムパスワード導入も検討した方がいい。
    クレジットカード番号は暗号化が必要。IDも同様。
    復号化キーの管理を徹底する。



    ゲームをしない人には関係ないと思われる事件だが、このようなハッキング技術は、
    他のネットワーク・サービスへの攻撃方法を教えてしまうことになる。
    ネットで買い物をする人だけでなく、プロバイダー契約情報も同様に危険になる。

    これまで、個人情報流出事件での原因は、DB管理者が情報を不正に入手して売るケースだったが、
    完全に外部の人間による個人情報流出は深刻な問題だ。
    被害を受けた会社は補償しなければならないため、被害も甚大になる。
    以前、ぷららで個人情報流出事件が起きたが、この時は1人500円の簡易為替をユーザーに配った。
    被害を受けることなく為替をもらったのでよかったが。


    関連記事
    スポンサーサイト





    相互リンクでSEO∞から

    テーマ : ハッキング、クラッキング
    ジャンル : コンピュータ

    コメントの投稿

    非公開コメント



    電力使用状況&電気予報
    カレンダー
    03 | 2024/04 | 05
    - 1 2 3 4 5 6
    7 8 9 10 11 12 13
    14 15 16 17 18 19 20
    21 22 23 24 25 26 27
    28 29 30 - - - -
    最新記事
    月別アーカイブ
    カテゴリ
    最新コメント
    最新トラックバック
    アクセスランキング
    [ジャンルランキング]
    ニュース
    80位
    アクセスランキングを見る>>

    [サブジャンルランキング]
    時事
    42位
    アクセスランキングを見る>>
    アクセスカウンター
    ブロとも申請フォーム

    この人とブロともになる

    QRコード
    QR