ソニーのゲーム関係の利用者情報が大量に盗まれたというニュース。
「子会社も含めた流出情報は世界で1億人分を超え、史上最悪規模」(サンケイ 2011.5.8)とされる。
しかも、その原因が、
「注意をしていたけれど、スキを突かれた」のではなく、
「そもそも、注意する気がなかった」ことにあるらしい。
ソニーともあろう会社が・・・とため息が漏れる。
今日のブログは、まず、今回の事件に関するソニー本体の対応を見て、
次に、各情報を記録しておく。
ブログの最後には、もっとも、具体的に解説している意見の一つと思える
「ソニー7700万件情報流出、原因は『脆弱性への未対処』」(2011年5月2日 読売新聞)
を記録。その主旨は
「ソニーの業務執行役員・長谷島眞時氏は
『正規の通信として、入って出てくる方法で脆弱性を突かれている。そのため不正アクセスとして検知できなった』
『わかっていて更新できなかったのではなく、脆弱性に対処していなかった』」
「ユーザー側の対策としては、以下の4ポイントに気をつけたい」
とある。
人気ブログランキング→→ ←←ワン・クリック10点
3位4位あたり
ソニー本体のWebページ から SONY make.believe
●ソニー情報流出、1億人分超が確実に
itmedia 2011年05月10日 10時43分
Sony Online Entertainment(SOE)から盗まれた可能性があった約2460万人分の個人情報について情報流出を確認。PSNの7700万人分と合わせ、1億人超の情報流出が確実に。
ソニーグループのオンラインサービスから個人情報が流出した問題で、米Sony Online Entertainment(SOE)から盗まれた可能性があった約2460万人分の個人情報について、情報流出が確認されたことが分かった。
PlayStation Network(PSN)の約7700万人全員分の情報も盗まれていたことが判明しており、流出規模は1億人分を超えることになった。
SOEは「EverQuest」などのPC向けオンラインゲームを運営。システムは4月16~17日に不正侵入された。
●ソニー情報流出:『アノニマス』ファイルを発見
wiredvision 2011年5月 5日
ソニーは、5月4日(米国時間)付けで米下院の小委員会へ提出した書簡の中で、子会社である米Sony Online Entertainment(SOE)社のサーバーにアクセスした侵入者が、「We Are Legion」という語句が含まれた、「Anonymous」というファイル名のファイルを残したことを明らかにした。「We Are Legion(われわれは軍団だ)」は、ハッカー集団『Anonymous』がよく使用しているスローガンだ。
SOE社のサーバーに不正アクセスを行なった侵入者は、ユーザー2460万人とクレジットカード番号のほか、銀行口座番号2万件に関する情報を流出させたという。
ソニーがSOE社への不正侵入に気づいたのは1日のことで、同社の『PlayStation Network』ならびに『Qriocity』サービスから7700万件のアカウントに関する情報を流出させた4月の攻撃(日本語版記事)について調査中のことだったという。最初に見つかったPlayStation Networkへの不正侵入では、Anonymousとの関連性を示すものは見つかっていない。だがソニーは、これらの不正侵入はいずれも同時期に起こったと指摘している。
また、『プレイステーション3』(PS3)のルートキーを公開したGeorge Hotz氏に対してソニーが起こした訴訟(日本語版記事)への報復として、Anonymousがサービス拒否(DoS)攻撃作戦を開始した時期ともタイミングが一致する。[訴訟は4月11日に和解が成立(日本語版記事)と発表されている]
ソニーによると、PlayStation Networkには米国在住の560万人を含む1230万人の顧客がクレジットカード情報を保存しているが、今回の攻撃に直接関連すると思われる詐欺行為について、大手クレジットカード会社からの報告はまだないという。これら顧客のクレジットカード番号は、暗号化されて保存されていたという。
・・・・(略)
●ソニー情報流出事件、ハッカー集団名のファイル発見
CNN.co.jp 5月5日(木)11時21分配信
(CNN) ソニー傘下のネットワークから個人情報が流出した問題をめぐり、同社は米議会に宛てた書簡の中で、国際的なハッカー集団「アノニマス」が関与した可能性をうかがわせるファイルが見つかったことを明らかにした。
・・・・(略)
●ソニー情報流出問題で情報のブラックマーケットも震撼?
Gpara.com 2011.05.10 / The New York Timesより
ソニー・コンピュータエンタテインメントのPlayStation Networkに続き、『EverQuest』シリーズの運営元・Sony Online Entertainmentでも個人情報の流出の可能性が発表され、被害を受けた利用者は1億人を超えると報道されている。そんななか、この問題は、いままで情報の闇取引で儲けていた人たちにも影響を及ぼすかもしれない。
流出した情報の全容はまだ明らかではないが、The New York Timesのブログ記事によれば、もし、大量のクレジットカード情報がブラックマーケットに流出したとしたら、違法クレジットカードの相場が暴落するかもしれないという。これまでクレジットカード情報は1件あたり5〜10ドルで取り引きされていたが、1〜2ドルにまで下がりうるとのこと。
さらにこの記事では、“ヨーロッパに拠点をもつベテランハッカー”の発言として、「他のカードの転売価格にも影響があるかもしれないので、ソニーのニュースは注意深くチェックしている」といった言葉も紹介されている。
先週のインタビューでは、トレンドマイクロ社でネットの脅威を調査する担当者も、「ソニーのデータ流出については、ハッカーの仲間内のフォーラムでも議論が活発。なかには、大量のカード情報がもたらされることで、相場が暴落すると心配しているディーラーもいる」と言っていた。
もちろんこれまでのところ、クレジットカード情報がどの程度流出したのかははっきりしていない。それでも、ブラックマーケットをも震撼させているという話は、影響がいかに大きいかを物語っている。(中島理彦)
●「ソニー・ブランド」米国で急降下 「個人情報流出」延べ1億人分に
J-CASTニュースニュース経済 2011/5/10 18:18
ソニーのオンラインゲーム関連の個人情報流出事件で、米子会社のPC向けオンラインゲームの利用者約2460万人について、個人情報が流出していたことが新たに明らかになった。これまでに明らかになった分とあわせると、延べ人数で1億人分以上の個人情報が流出するという異例の事態で、米国でのソニーのブランドイメージは急降下している。
・・・・(略)・・・
情報公開の遅れに批判も
一連の情報流出事故で、海外からの批判も高まっている。例えばAP通信は、
「ソニーは、ネットワーク侵入の対応をめぐり、厳しい批判にさらされている。同社は、ネットワーク上の異常な動きに対する調査を4月19日に始めたにもかかわらず、情報流出について4月26日まで消費者に知らせなかった」
と対応の遅さを指摘。対応の不備をめぐる集団訴訟が行われていることを紹介している。
実際、消費者の「ソニー離れ」も進んでいるようだ。調査会社の英ユーガブ(YouGov)社が米国の18歳以上の消費者に対して行ったブランド認知度の調査によると、事件が起こるまでは、ソニーは家電メーカーの中ではベスト3に入っていた。
ところが事件後は、アップル、LG、ヒューレット・パッカード(HP)、コダック、デル、サムスンの後塵を拝しているという。
ゲーム利用者の過半数「これからも使い続ける」
ただし、実際のゲーム利用者のレベルでは、風当たりは、そこまで強くないようだ。
米USAトゥデー紙が紹介した利用者の声の中には、
「顧客情報を扱う企業であれば、どこでもこの種の事故は起こっただろう」
といったソニーに同情的なものがある一方で、
「これからは、自動的に『ソニー=高品質』ということにはなりにくい。これから、ことあるごとに(今回の)事件を思い出すことになるだろう」
と、今後はソニーのサービスを利用することに慎重にならざるを得ないとの声もある。
●情報流出で揺らぐソニーのネット戦略、ハード販売に落とす影
2011年 05月 9日 ロイター
●ソニー情報流出 「想定内」の怠慢が招いた
サンケイ 2011.5.8 03:44 (1/2ページ)
ソニーが運営するゲーム機用インターネット配信サービスなどから個人情報が大量流出した問題で、ずさんな対応に批判が集中している。
子会社も含めた流出情報は世界で1億人分を超え、史上最悪規模だ。利用者が最も懸念するクレジットカード情報も、1230万枚分が漏れた可能性が高い。にもかかわらず、利用者への情報公開や謝罪、当局への通報などあらゆる側面で同社が後手に回っているのは極めて問題だ。猛省を促すと同時に、徹底した解明と再発防止を求めたい。
流出したのは、世界的人気のゲーム機「プレイステーション」向けソフトなどをダウンロードする会員制サイトだ。同社は先月19日に不正侵入に気づいたが、公表したのは1週間後の26日だった。
事態を重視した米議会の緊急要請に対する同社の回答によると、会員らの氏名、住所、電子メールアドレス、パスワードやIDなど7700万人の情報が流出した。実害はまだ報告されていないが、一部はクレジットカード情報が含まれているという。
問題は対応に迅速さを欠いただけではない。同サイトは以前から国際ハッカー集団の攻撃を受け、個人情報用サーバーに欠陥があることも指摘されていたという。
それなのに実効ある対策がとられず、同社幹部は「システム管理者が認識していなかった」としている。予期できたはずの想定内の課題にも対応しないのでは、システム管理の怠慢と安全軽視の姿勢はお粗末の一語につきよう。
4日の米下院公聴会では公表の遅れを中心に、厳しい非難が相次いだ。ストリンガー会長兼社長が公式謝罪をしたのも5日(日本時間6日)になってからだった。公聴会はさらに続く見通しで、カナダでは同社などを相手取って10億カナダドル(約840億円)の損害賠償訴訟が提起されている。
対応を誤れば、同社だけでなく「日本ブランド」全体の信用も失われかねず、その意味でもソニーの責任は重大といえる。昨年のトヨタ車リコール問題の教訓は、迅速な情報開示と誠意ある説明だったことを想起すべきだ。
サイバーテロは増えており、大規模情報流出は政府にも対岸の火事といえまい。「想定内」の危機管理すら、不十分な対応しか取れなかったのではなかったか。危機対応力を高めてもらいたい
●ソニー情報流出、840億円求め集団訴訟 カナダ人女性
朝日 2011年5月5日
ソニーのオンラインサービスから大量の個人情報が盗まれた可能性がある問題で、カナダ人女性が同社を相手取り、総額10億カナダドル(約840億円)の損害賠償を求める集団訴訟を起こしたことが4日、分かった。
ソニーのゲームや動画配信サービス「プレイステーション・ネットワーク」と「キュリオシティ」から個人情報が流出した恐れがある約7700万人のうち、カナダ人は約100万人といい、彼らを代表して提訴したという。
21歳の原告女性は、情報流出への補償が一定期間の無料使用にとどまることに不満を抱いており、「ソニーはゲーム機の利用者より、ゲーム(事業)を守る方に注力しているようにみえる」とコメントした。
今回の情報流出を巡っては、米アラバマ州の男性も損害賠償を求める集団訴訟を起こしている。(ニューヨーク=山川一基)
●ソニー7700万件情報流出、原因は「脆弱性への未対処」
(2011年5月2日 読売新聞)
・・・・(略)・
記者会見によると、PSNへの不正アクセスの経緯は以下の通りだ(いずれも日本時間)。
4/20 サーバーに異常な動きを確認し、調査を開始
4/21 社内調査により17日から19日にかけて不正アクセスがあったことが判明。本格的な調査のためにPSNのサービスを停止。セキュリティー専門会社に依頼し、事態の把握に着手
4/25 追加で別の解析調査会社へ依頼
4/27 調査の結果、個人情報漏えいの可能性が判明。ウェブサイトで告知し、メールで注意喚起を出す
5/1 ソニー副社長、ソニー・コンピュータエンタテインメント社長の平井一夫氏の記者会見が行われる
ソニー側の調査により、流出したと思われる個人情報は、「氏名」「国と住所」「メールアドレス」「誕生日」「性別」「プレイステーションネットワークのログインパスワード」「プレイステーションネットワークのオンラインID」だ。個人情報のほぼすべてが流出したことになる。特にパスワードが流出したことは重大だと言えるだろう。パスワードはハッシュ化という方法により直接読み取ることはできないが、ハッシュ化したデータは流出している。
・・・・(略)・・・・
原因は「脆弱性に対処していなかったこと」
不正アクセスの手口。アプリケーションサーバーの脆弱性を突かれ、個人情報が保存れていたデータベースにアクセスされた プレイステーションネットワークへ不正アクセスを行った犯人は判明していない。数か月にわたり「Anonymous(アノニマス)」というグループに攻撃されていたが、平井氏によると「犯人がアノニマスだという証拠はみつかっていない」とのこと。アノニマスとは、ソニーを敵視しているグループで、過去にプレイステーションネットワークに対するDDos攻撃(データを集中的に送って利用不能にする攻撃)などを行っている。現時点で、不正アクセスの犯人を突き止めるのは難しそうだ。
不正アクセスの手口は、調査の結果、判明している。根本的な原因は、アプリケーションサーバーの脆弱性に対処していなかったことにある。脆弱性とは、外部からの不正なアクセスなどによって不正に利用できてしまう問題点・欠陥のこと。プレイステーションネットワークでは、アプリケーションサーバーと呼ばれるプログラムに既知の脆弱性があった。ここを犯人に突かれて侵入されている。ソニーが発表した侵入経路を、上の図にしたがってまとめる。
・まず犯人はアプリケーションサーバーの脆弱性を突き、通信ツールをプレイステーションネットワーク内に不正に導入(裏口の確保)
・設置した通信ツールによって、個人情報が保管されているデータベースサーバーへのアクセス情報を入手
・アクセス情報を使って、外部からデータベースに不正アクセス。個人情報をダウンロード
という流れのようだ。ファイアウオールやIPS(侵入防止システム)はあったものの、それを通り抜けている。これについてソニーの業務執行役員・長谷島眞時氏は「正規の通信として、入って出てくる方法で脆弱性を突かれている。そのため不正アクセスとして検知できなった」と述べている。
最大の問題は、脆弱性に対処していなかったことにある。一般的に対処は難しく、わかっていても直すためのプログラムがなかったり、システムの更新ができなかったりなどの問題で対処できないこともある。しかし、長谷島氏によると「わかっていて更新できなかったのではなく、脆弱性に対処していなかった」とのこと。つまり放置していたことになる。巨大なネットワークを運営しているのにもかかわらず、脆弱性に対処していなかったのはお粗末と言えるだろう。
ユーザー側の対策4ポイント
不正アクセス事件の反省を基に、ソニーではデータベースサーバーを移動させ、セキュリティー対策を強化すると発表している。対戦ゲームやログインが必要なゲームなどのサービスは、5月1日から1週間以内に順次再開予定とのこと。また、プレイステーションネットワーク全体の再開は5月中を目指している。筆者の個人的意見にはなるが、不正アクセス事件の全貌と原因がハッキリとわかるまでは再開せず、確実に安心と言えるようになってから再開することを望みたい。
ユーザー側の対策としては、以下の4ポイントに気をつけたい。
●クレジットカードの利用状況を必ず確認する
登録したクレジットカードの利用状況・請求書を確認する。身に覚えのない請求があったら、すぐにクレジットカード会社に報告して請求をストップさせること。併せてソニー・コンピュータエンタテインメントの窓口に報告しよう。
●パスワードを必ず変更する
プレイステーションネットワークが再開次第、すぐにアクセスしてパスワードの変更を行うこと。ネットワーク側で変更するように指示が出るので、今までとは異なるパスワード、かつ他のサービスで使っていないパスワードを登録しよう。
●他のサービスで共用しているパスワード・秘密の質問があれば変更
これがもっとも厄介かもしれない。プレイステーションネットワークで使っているパスワードを、他のネットサービスで使っている場合は、そちらも変更する。流出したパスワードでの不正アクセスを防止するためだ。加えて、今回はパスワードを思い出すための「照合質問(秘密の質問)」も流出した可能性がある。「照合質問(秘密の質問)」とは、パスワードを忘れた場合に「母の旧姓」「中学校の名前」などの質問でパスワードを照合するもの。他のサービスで同じ質問を使っている場合は変更しよう。
●便乗した詐欺に注意する
今回の不正アクセス事件に便乗した詐欺に要注意。メールや電話でパスワードを聞かれても一切答えてはいけない。ソニー側から電話やメール、郵便などでユーザーの個人情報を聞くことはない。不正アクセス事件解決のため、と称して個人情報を聞く電話やメールは無視しよう。
ソニー・コンピュータエンタテインメントによれば、流出したパスワードは「ハッシュ化していた」とのことで、解読される危険性は低いと思われるが、念のためにパスワードは変更しよう。また、筆者の個人的アドバイスになるが、万が一のときに被害を最小に抑えるため、ネットサービスに使うクレジットカードの利用限度額をできる限り下げることを勧めたい。
今回の不正アクセス事件では、発表までに1週間もかかっていること、さらに遅れて社長会見を行い、しかもゴールデンウイーク中の日曜日に行うなど、ソニー側の情報公開体制に問題がある。トラブルをいち早くユーザーに伝える体制を整えることを望みたい。
| Trackback ( )
|
【コメント募集中】goo blogでの思い出は?
@goo_blog
