※見出しをクリックすると記事が読めます
DMMゲームズ号外を自動表示しない
号外No.1
東京ゲームショウレポート
今熱い最新タイトル情報
話題の記事

事前登録受付中!

オススメ機能
Twitter
お気に入り
記事履歴
ランキング
4Gamer.net
お気に入りタイトル/ワード

タイトル/ワード名(記事数)

最近記事を読んだタイトル/ワード

タイトル/ワード名(記事数)

いまから始めるオンラインゲーム
モバイル版4Gamer(β)
※ドコモ旧機種には対応してません
特集記事一覧
注目のレビュー
注目のムービー
印刷2011/05/01 21:44

イベント

個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報

 ソニーおよびソニー・コンピュータエンタテインメント(以下,ソニー)は,本日(2011年5月1日),ソニー本社で「PlayStation Network」および「Qriocity」への不正アクセスに関する説明会を開催した。

 発表の概要や質疑応答の内容については,すでに速報でほとんどが紹介されているので,ここでは重要なポイントをまとめつつ,改めて内容を確認してみたい。

【速報】ソニー,PSNへの不正アクセスに関する記者会見を実施。PSNのサービスは段階的に再開


不正アクセスの概要


 PlayStation Network(PSN)などを管理しているのは,アメリカに本拠を置くSony Network Entertainmentだ。簡単に示されたネットワーク構成は以下の図のようなものとなる。


 Web層の背後にアプリケーションサーバーがあり,そのさらに後ろにデータベースがある。通常,ユーザーとのやりとりはWeb層を経由し,フォームなどの送信でアプリケーションサーバーにデータを送るものと思われる。今回は,アプリケーションサーバー部分の脆弱性を突かれてシステム内部に侵入を許し,内部にバックドアを作成され,そこからサーバー内にハッキングツールを持ち込み,データベースから情報を抜き取ったと思われる。
 「セキュリティ上の問題なので」ということで,対策済みのはずのものでも具体的な内容も明かされなかったものの,正常なトランザクション中にコマンドを混ぜ込んでといった表現がなされていたので,おそらくはクロスサイトスクリプティングのような手法が使われたのではないかと思われる。

個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報 個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報
個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報 個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報
個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報 個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報

 まず問題となるのは,アプリケーションサーバーの脆弱性が放置されていたことだ。これは既知のセキュリティホールだったとのことで,システム管理に根本的な問題があったのではないかという疑問が湧いてくる。
 PSNくらいの規模のオンラインサービスともなると,そうそうなことでは止めるわけにはいかない。オンラインゲームだと,パッチが当たったら不具合で再メンテ……などということを経験したことのある人も多いのではないかと思われるが,これだけのシステムともなると,そんなことは許されない。パッチ前に十分検証を行ってから導入するのは当然であろう。ただ,今回は検証のタイムラグによるものという雰囲気ではなかったのと,この事件を受けて新たに情報管理の責任者が置かれた経緯などからも分かるように,もともとのセキュリティ管理が甘かったというのは,おそらく間違いないと思われる。

 クレジットカード情報についても,データベース上に暗号化されて記録されている。ネットワーク構成図からみるに,一般のデータベースとは,とくに分けられていないようである。それでもクレジットカード情報が漏洩した可能性が低いとしている点の根拠については,「該当レコードへのアクセスが確認されなかった」からとのことだった。エンタープライズ向けのデータベースソフトウェア(例えばOracle 10以降)では,どのようなアカウントからどこのレコードが参照されたか,どのレコードの参照を許可するかなどを細かく設定できる製品があるので,そういったものが使用されているのだろうと推測される。
 これに対して,アカウント情報については,かなりの確度で情報流出があったとされているので,実際に不正侵入による該当情報へのデータベースへのアクセスが確認されているのは間違いない。
 ただし,このような不正侵入を行った犯人は,かなり高度な技術を持つ侵入者と見られる。そういう手合いだと,ログから侵入の痕跡を消すなどということは当たり前にやってくるので,これだけを根拠に流出していないとするのは難しい。ソニー側も,低いながらも流出の可能性があることは認めている。

 不正アクセス発生後,アメリカでもトップクラスの専門企業3社を動員して解析にあたったとのことで,想像されるログの量などを考えると,不正アクセスの概要発表で10日というのはかなり早いレベルといえる。ただ,個人情報流出の事実などについてはもっと早い段階で判明していたとのことで,サービス再開などの目処を立ててからの発表というのは,悠長すぎるといわれても仕方がないだろう。


問題点はいかに対処され,どう強化されていくのか


個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報
個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報
 今回の事件が発生して以降,PSNは,サーバーを管理しているデータセンターを変更している。それ以前から移転の計画があったとのことだが,より強固なデータセンターに移し替えたとのこと。プロセス監視やリソース監視の強化とファイアウォールの増設が行われている。
 これらサーバー周りとは別に,PlayStation 3のファームウェアアップデートも行われたのだが,これは,主にネットワーク接続時にパスワード変更を促すためのものだそうだ。

 サーバープログラムのセキュリティホールは,既存製品を使っている限りは続々と見つかってくるので,脆弱性の発見からパッチ当てまでのタイムラグがゼロに近づくことが望ましい。今後もセキュリティ対策が即時とはいかない……かのような気になるコメントもあったのだが,その未対策期間をフォローするためにモニタリング機能などの強化などが行われるのだろう。

 犯人の正体や目的などについても,現時点では不明のまま。サーバーの設置場所がサンディエゴで,Sony Network Entertainmentがアメリカ企業であることもあり,今回の不正アクセスの捜査はFBIによって進められているという。
 会見では,事件の直前に起きたハッカー集団Anonymousのサイバーテロを背景情報として挙げていたが,関連性は不明とのこと。ただ,Anonymous自体は関与を否定しており,彼らによるサイバーテロの具体例としてソニーから紹介されていたのが,

  • 大量のメールを送りつける
  • ネットからソニー重役の家族の個人情報を拾ってきて晒す
  • 世界各国のソニー直営店前で座り込みをする

といった微笑ましい内容であることからも,今回の事件とはかなりレベルが違うようにも感じられる。


サービス再開に向けてユーザーがすべきこと


個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報
個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報
 PSNは,現在データセンターを移し,セキュリティを強化した状態で1週間以内を目処に一部サービスの再開が行われる見込みだ。

 まず,4月27日以降に告知が行われ,クレジットカードの引き落とし履歴などに注意を促すとともに,PSNと同じIDとパスワードを使ったサービスでは,パスワード変更を強く推奨していくという。PSNのパスワード変更は,利用者全員が必須となる。この際,アカウント登録時に使用したメールアドレスが必須となるので,すでにプロバイダを変更しているなどという人は,個別にサポートに問い合わせることが必要になると思われる。

 また,クレジットカード情報が流出した懸念が拭えないことから,希望者にはソニーの負担でクレジットカードの再発行のサポートなどが行われる。
 完全にサービス体制の復帰が行われるのは5月中を見込んでいるという。

個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報 個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報
個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報 個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報


不透明な個人情報流出への補償


 今回の会見で最も気になった点が,個人情報流出の補償についてだ。会場で,平井氏が述べたユーザーへの補償は,

  1. クレジットカード情報の漏洩は確認されていないが,確認され次第,個別に補償。クレジットカードを再発行したいという場合には,手数料を負担
  2. サービス停止期間の補償として,無料コンテンツの配信や30日間の有料サービスを無償で提供

の2点だ。

 7700万ものアカウントの個人情報流出という,今回のメイン事案に対しては,あまり補償の必要を感じていないようだった。質疑応答で何度か確認されたのだが,そのたびにクレジットカード情報の話を返しており,個人的な印象だが,個人情報の重要度はほとんど認識すらされていないようだった。
 個人情報が流出すると,どうなるのか? まずスパムメールが多くなり,個人情報をキーとして別のアカウントでの被害が予測される。いろいろなサービスで同じIDとパスワードを別サービスで使い回すという人は意外と多く,過去の国内のオンラインゲームでのアカウントハックの多くが,そのパターンだったりする。それを考えると,今回の流出事件はPSNに留まらない広範なアカウントハック被害を派生させる可能性も高い。

 現状では,以前のパスワードのままの再設定を禁止するような措置もとくに取られていないようで,「パスワードを変えてください」と告知すれば,それで解決するかのような,少し事態を甘く見ているふしが窺える。ほぼ確実にIDとパスワード情報が流出しているとなると,一番大きな二次災害が出そうなのはオンラインゲーム業界であろう。身に覚えのある人は対策をしておこう。

 では,ソニーは個人情報に関する被害については,どのように対処するかというと,クレジットカード情報と同じく「確認され次第,個別に補償」というスタンスだ。とりあえず,現状では,個人情報・クレジットカード情報ともに,流出による被害報告はされていないという。金銭的被害以外はほぼ考慮されていない雰囲気ではある。人によっては,流出というだけで精神的苦痛を感じたり,果てはPTSD(心的外傷後ストレス障害)を起こす人だっているかもしれない。少なくとも,ほぼ全員が嫌な思いをしているのは間違いないのだ。
 クレジットカード情報の流出は,もし発生したとしたら一大事であり,ソニー側として重視するのは分かるのだが,ユーザー目線で見れば個人情報はかなり重要な項目であり,ここは具体的に補償を示しておいたほうがよかった局面といえるだろう。
 もっとも,あくまでも個別対応というだけで,決して補償しないわけではなく,きっと篤く補償してくれるのだろうが,数千万人に対してきちんと個別に対応するといわれても,正直言って真実味はまったく感じられない。

 ソニー重役の個人情報が流された件をサイバーテロ扱いの被害として挙げているのとは好対照の対応といえる。とりあえず,謝るのは人として当然だろうから,謝罪しにこいと言われたらどう対応するのだろうか。多くの会社が,個人情報流出での補償で,個別補償をむしろ避けているのにはちゃんと理由があるのだ。
 また,前述のように,クレジットカード情報の流出についても,ソニー側は可能性を完全には否定していない。日本国内ではそうそうないだろうが,アメリカあたりだと,とりあえず訴えてみるのが当たり前なだけに,今後の展開が気になるところだ。

 大規模個人情報流出が大事件扱いされたのも昔の話で,日本だと最近はみんな慣れてきて,かなり大規模なものでも「またか」で済まされてうやむやになるものも多いのだが,今回は世界規模の事件なのに,同じようなうやむや化の対応が取られているように思え,どうにも危機管理意識の薄さを感じざるをえない。今後,ソニーグループでは,ネットワーク依存型のサービスを多く始めるとのことでもあり,今後登場が予定されているNGP(Next Generation Portable:仮称)でも,ネットワークが重要な位置を占めるという。こんな対応で大丈夫か? と,若干不安の残る会見であった。


個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報
  • この記事のURL:
line
4Gamer.net最新情報
トピックス
スペシャルコンテンツ
注目記事ランキング
集計:10月23日〜10月24日
タイトル評価ランキング
88
TERRA BATTLE (iPhone)
83
81
人狼オンライン (BROWSER)
81
マリオカート8 (Wii U)
2014年04月〜2014年10月