現在位置:
  1. asahi.com
  2. ライフ
  3. デジタル
  4. 斎藤・西田のデジタルトレンド・チェック
  5. 記事

ネットでの個人情報の登録やカード決済に影を落とす、ソニーの情報漏えい(3/4ページ)

2011年5月12日

印刷印刷用画面を開く

Check

このエントリーをはてなブックマークに追加 Yahoo!ブックマークに登録 このエントリをdel.icio.usに登録 このエントリをlivedoorクリップに登録 このエントリをBuzzurlに登録

表:表:今回の事件で漏えいしたとされる個人情報。カード情報は、標準の情報とは別に、暗号化して保存されており、悪用される可能性が低いと考えられる(図版制作:澤田朋宏)拡大表:今回の事件で漏えいしたとされる個人情報。カード情報は、標準の情報とは別に、暗号化して保存されており、悪用される可能性が低いと考えられる(図版制作:澤田朋宏)

写真:画像1:4月27日、プレイステーション・ネットワークのウェブサイトに掲載された告知。同様の内容がキュリオシティのウェブサイトにも掲載されている拡大画像1:4月27日、プレイステーション・ネットワークのウェブサイトに掲載された告知。同様の内容がキュリオシティのウェブサイトにも掲載されている

写真:画像2:5月1日に掲載された今後の対応について。各サービスを段階的に再開し、5月中に完了させる予定であることを明らかにしている拡大画像2:5月1日に掲載された今後の対応について。各サービスを段階的に再開し、5月中に完了させる予定であることを明らかにしている

写真:画像3:今回の侵入手口。まず、ウェブサーバーを通り抜けた通信によって、アプリケーションサーバーで不正な処理が実行された。犯人は秘密裏に外部と通信できる状態を作り、そこを経由してデータベースサーバーとの通信も確立。個人情報などを読み取ったと見られる。通信内容をチェックするはずのファイアウォールも、今回の通信を見破れなかった(図版制作:澤田朋宏)拡大画像3:今回の侵入手口。まず、ウェブサーバーを通り抜けた通信によって、アプリケーションサーバーで不正な処理が実行された。犯人は秘密裏に外部と通信できる状態を作り、そこを経由してデータベースサーバーとの通信も確立。個人情報などを読み取ったと見られる。通信内容をチェックするはずのファイアウォールも、今回の通信を見破れなかった(図版制作:澤田朋宏)

被害者ソニーにも問題

 7日現在、ソニーは今後、準備が整い安全性が確保してから、両サービスを地域ごとに段階的に再開するとしていますが、再開時期は近日中で具体的な再開日は未定です。サービスの再開に伴い、全ユーザーに対してパスワードの変更が実施され、プレイステーション3の基本ソフトは更新となります。

 また、地域ごとの状況に応じて、クレジットカードの再発行の援助や、海外では個人情報保護サービスの無料提供なども検討しているようです。日本国内での対応は未定ですが、少なくとも、情報漏えいによって実際に具体的な被害が生じた場合には、それを補償する体制が作られるはずです。

 サービスの長期停止に対する「お詫びと感謝の気持ち」として、全ユーザーには特定コンテンツの無償ダウンロードや一部の有料サービスを期間限定で無料化するなどの施策も計画されているようです。

 一方、「情報が漏えいしてしまった」こと自体について、ソニーは「深くお詫び申しあげます」としているものの、何らかの補償を行うという意向は今のところ表明していません。上のサービス施策はあくまで「サービスの長期停止」に対するものです。現状では「本当に情報が漏えいしたのか」が明確でないことが大きな理由でしょうが、ユーザーに不誠実な印象を与えるかも知れません。

 確かに、今回の件で、ソニーは攻撃された被害者という立場ですが、同社側に問題がなかったわけではありません。数千万件の個人情報を扱うネットワークサービスとしては、セキュリティー保護の体制が万全ではなかったようなのです。

 まず、今回の攻撃者がAPサーバーで不正な処理を実行できたのは、APサーバーのプログラムに存在していた既知のぜい弱性を悪用できたためです。プログラムが更新してあれば、不正な処理は実行できなかった可能性があります。

 プログラムの更新にはシステム全体が正常に動作するかを確認しなくてはならず、PSN/キュリオシティのような大規模なサービスではかなりの負担が掛かるのは確かですが、迅速な更新を可能にするシステム構成、ぜい弱性があっても悪用されにくい仕組みのどちらかは確立しておくべきだったでしょう。

 また、クレジットカードの情報は別途暗号化して保存していたものの、基本的な会員情報を平文で保存していたと説明しています。基本情報も暗号化して保存してあれば、仮にデータが漏えいしていても読み取りは困難で、悪用される心配は現状よりはるかに少なくなっていたはずです。

 今回の事件を受けて、ソニーは計画中だったデータセンターの移転を前倒しで実行し、そちらでサービスを再開する予定です。新データセンターでは、より高いセキュリティー体制を確立し、不正アクセスの検知や設定項目の管理、データ保護や暗号化のレベルを強化するとしています。つまり、逆に言えば、今まではこれらの対策を不要と判断していたわけで、結果的にその判断は誤りだったことになります。

 利用者への情報提供のやり方も良くなかったのではないでしょうか。今回、サービス停止から正式な発表まで一週間の間隔がありました。ソニーとしては、利用者を混乱させたくないのである程度ハッキリしたことが言えるようになってから発表すべきだと考えたのでしょうが、「意図的に隠していた」と思われてしまうようでは失敗です。

 詳細が不明なら不明であると明確にした上で、サービス停止の段階から「情報漏えいの可能性も含めて調査中」と告知する方が良かった。そうすると、確かにユーザーの間で推測やデマが飛び交う可能性があり、「実際には何もなかった」場合でも企業イメージが損なわれる可能性がありますが、少なくとも「真摯な対応」をしていることは伝わったはずです。

 福島原発の事故でも問題視されましたが、障害発生時に詳細の判明を長時間待ってから公表する姿勢は、現在ではあまり得策とは言えないでしょう。

 なお、今回の事件では、ソニーの子会社であるソニー・コンピュータエンタテインメントが被害を受けていますが、ソニー本体のウェブサイト(www.sony.jp)のトップページに情報やリンクの記載がありません。個人的には気になります。

 また、アメリカでは別の2つの子会社からも情報が漏えいしていたことが明らかになっており、ソニーグループ全体の情報保護体制に対して、疑いの目が向けられています。

プロフィール

斎藤幾郎(さいとう・いくお)

1969年東京都生まれ。主に初心者向けのデジタル記事を執筆。朝日新聞土曜版beの「てくの生活入門」に寄稿する傍ら、日経BP社のウェブサイト日経PC Onlineにて「サイトーの[独断]場」を連載中。近著に「パソコンで困ったときに開く本」(朝日新聞出版)、「すごく使える!超グーグル術」(ソフトバンククリエイティブ)などがある。

西田宗千佳(にしだ・むねちか)

1971年福井県生まれ。フリージャーナリスト。得意ジャンルは「電気かデータが流れるもの全般」。朝日新聞、アエラ(朝日新聞出版)、AV Watch(インプレス)などに寄稿。近著に「メイドインジャパンとiPad、どこが違う? 世界で勝てるデジタル家電」(朝日新書)、「iPad vs.キンドル 日本を巻き込む電子書籍戦争の舞台裏」(エンターブレイン)がある。

検索フォーム


朝日新聞購読のご案内
新聞購読のご案内事業・サービス紹介