何がどの程度、なぜ漏れたのか、今後の対策は − ソニーPSN/Qriocity会見の質疑応答
本日ソニー(株)と(株)ソニー・コンピュータエンタテインメントは、PlayStation NetworkとQriocityへの不正アクセス、および情報流出に関する説明会を開催した。
会見は説明も含めて1時間30分以上に及び、ソニー(株)代表執行役 副社長 件 SCE グループCEOの平井一夫氏らが、本件に関する質問に対してくわしく回答した。
ソニー側からの説明の内容はこちらで紹介したとおり。本項では、説明の後に行われた質疑応答を紹介したい。なお質問が多数だったため、一部重複していた質問と回答は割愛している。
Q:PSNのアカウントに登録されているクレジットカードの数は何枚か。
A:約1,000万枚だ。
Q:クレジットカードの情報が流出していない可能性について、その確度を教えて欲しい。
A:クレジットカードの情報が漏洩した証拠はないが、漏洩していないという宣言もできない。今のところカードの不正使用があったという報告は得ていないが、お客様の安心を確保したい。
Q:米下院などから様々な質問状が出ているが、こういった状況で再開が可能なのか。
A:アメリカの会員から質問状が来ている。真摯に対応し、質問に回答していきたい。サービス開始に当たって、各国各地域によって、様々な調整が必要な場合は、当然そちらの要求に従い、調整しながら行っていく。
Q:今回の件が業績にどう影響するか。
A:業績への影響は、データ保護のための費用や、クレジットカード再発行の手数料の負担、PSN/Qriocityへのサービス展開、停止中の売上げなど様々な要素があり、まだ精査できていない。精査できてから発表したい。
Q:不正アクセスの情報を得てからの初動について教えて欲しい。これは適正なものだったか。
A:最初に聞いたのは、不正アクセスがあった可能性があるという情報だった。その後調査していくうちに、かなり高度な技術を持っていることが徐々に分かっていった。
Q:漏洩したと見られる個人情報があるということだが、これは何を根拠にそう判断しているのか。また漏洩したと考えられるのは何人分なのか。
A:個人情報の流出については「可能性がある」ということで、どのデータがどの程度漏洩したかということは調査中で、断定できる段階にない。
だが一番多い数字で見積もると、7,700〜7,800万のアカウントの情報が漏洩していた可能性がある。ただし同じユーザーが複数アカウントを登録していることがあるので、何人分というカウントでいうと、7,800万人よりは少なくなる。
Q:FBIに捜査依頼を行っているという話があったが、被害届なのか告訴なのか。正式な刑事手続きは取っているのか。取っているならどういった手続きか。
A:SNEIはアメリカに本社がある会社なので、まずはFBIに捜査をお願いしている状況。それ以上の情報についてはコメントを差し控えたい。その他の国で捜査をお願いしているということは現段階ではないが、各国当局からの連絡は頂いているので、個別に対応させて頂きたい。
Q:流出したと考えている情報とそうでない情報、これを分けているものは何か。
A:個人情報については、持ち出された可能性はある。相対的にクレジットカード情報に対して持ち出された可能性が高いということだ。クレジットカード情報については、暗号化されていることと、データにアクセスした痕跡がないことから、その可能性は低いと考えている。
Q:アプリケーションサーバーの脆弱性ということだが、これは既知の脆弱性を突いたものだったのか、新たな脆弱性だったのか。また、サーバーのシステム構成はどうなっていたのか。
A:アプリケーションサーバーの脆弱性については、これは既知の脆弱性だった。SNEIのマネジメントがこれを認識していなかったということだ。こういった部分への対策を強化すべく、新たにChief Information Security Officer(CISO)職を設置した。
Q:PS3のシステムにも脆弱性があるということか?
A:システムソフトウェアのアップデートでは、様々なアップデートを行うが、一番ユーザーさんに対して見えてくるのは、パスワード変更をお願いすると言う部分だ。
Q:補償について。サービスの無料提供という話、クレジットカード再発行手数料などの話はあったが、そのほかに何か考えているか。
A:今のところはクレジットカード再発行を考えている。補償については地域別の展開を行っていきたい。
Q:情報開示のやり方に対して批判が集まっている。情報開示に問題はなかったと考えているか。
A:不正侵入があったという時点で、最初の対応をしたのが、PSN/Qriocityサービスを停止したということ。その後、膨大な情報を解析するのにかなり時間がかかった。お客様の情報がどう流出したのか、確度が上がった段階で公表したということ。なるべく確度の高い情報をお届けしたいと考えた。
Q:タブレットの発表を行った日には、本件について認識していたのか。
A:不正アクセスがあったことは認識していた。また、これに関して情報の詳細な分析を行っていることは認識していた。だが、その段階では確度の高い情報を提供する段階には至っていなかった。結果的にタブレットの発表直後に発表することになってしまった。
Q:不正アクセスの理由は何だと考えているか。ハッカー集団との戦いがあったようだが。
A:これまでハッカーから色々攻撃を受けてきたが、そこが関与しているという証拠はない。色々と理由はあると思うが、実際にどういう目的で不正行為を働いたかはわからない。
Q:パスワードの情報は暗号化されていなかったのか。それとも暗号化していたが破られたのか。
A:データベースに至るまでに様々なセキュリティ措置が取られていたが、パスワードについては暗号化されていなかった。ただしハッシュ化は行っていた。なお、クレジットカード番号はデータセンターの別の場所にあり、暗号化されていた。
Q:ソニーが推進するネットワーク戦略へのダメージについてどう考えているか。
A:PSNのさらなるワールドワイドな展開、Qriocityの全世界展開、タブレットやNGPの展開は、ネットワークが顧客体験に非常に密接に関わっている。これらをより豊かにするPSN/Qriocityの提供を、これからも継続させていただくというのが今後の道だと考えている。
Q:サービスを解約して欲しい、情報を抹消して欲しいというニーズにはどう答えるのか。
A:解約には真摯に対応させていただく。
Q:パスワード変更について。以前のパスワードが使えないような仕様になっているか。
A:様々な対策を施している。
Q:ほかのネットワーク会社でもこういった件での影響はあると思うが。
A:ネットワーク上での障害を来す行為があるというのは以前から分かっていたし、どのようにすればユーザーの情報を保護できるか、以前から取り組んできた。こういった事態を招いたことで、色々なことを全面的に見直していかなければならないと考えている。
Q:ハッカーやクラッカーなど、サーバー攻撃者に対して、今後どういうふうに付き合っていくか。
A:ユーザー様やサービス事業者様との、エコシステムを崩す行為であり、断固とした姿勢で取り組んでいかなければならないと考えている。
Q:米欧のブログで情報が先に出ていたようだが、これについてはどう考えているか。
A:アメリカとヨーロッパでブログを展開しているが、日本で流行っていなかった。今後、ユーザー様とのコミュニケーションツールとして、ブログを活用することをSCEJで検討している。
Q:金銭的な補償は考えているのか。
A:クレジットカードや個人情報流出に関する施策と、サービス停止で迷惑をおかけしたことに関する施策は分けて考えている。クレジットカードや個人情報に関する補償は、現段階ではクレジットカード情報が漏洩しているという根拠がない状況だ。。
Q:経営責任についてはどう考えているか。
A:本日はSCE、SNEIの責任者である私、平井が説明させていただいたわけだが、一番考えなければ行けないのは、ソニーのネットワークサービス、ネットワーク商品への信頼を取り戻すことが重要なポイントということ。まずは信頼をもう一度頂けるようにするということを、強く考えている。
Q:2〜3ヶ月に渡ってサーバへの攻撃があったのに、脆弱性が残されていたというのはなぜか。
A:これまでの攻撃の方法は、サーバーへメールを大量に一斉送付したり、役員の個人情報をばらまくと言ったものだった。残念ながら、こういった背景があったのに、サーバーの対策が甘かったのではないかと言われると、その通りと言わざるを得ない。
Q:PSNを解約したいという場合はどうすればよいのか。
A:定額課金サービスは「PlayStation Plus」のみで、基本的には退会という考え方はない。だが、もし退会したいという場合には、ウォレットに残っている金額の払い戻しなどを含めて検討していきたい。こういった部分を含めて考えていきたい。
Q:4月17日から19日にかけてサーバー攻撃があったということだが、なぜこれを検知できなかったのか。
A:検知精度を今後上げていく。脆弱性が発見されたときにパッチをすぐに当てられるというものではないが、こういった頻度を上げていく必要がある。
Q:PS3やPSPで、実際にPSNへアクセスしている台数はどの程度か。
A:実際にPSNへアクセスしているのは、PS3が約3,850万台、PSPが1,600万台程度と考えている。Qriocityはまだサービス開始間もないサービスで、これから伸びる段階だ。実際の数値はまだ公表していない。
Q:最初に告知を行った4月27日の段階で記者会見を行わなかったのはなぜか。
A:これには色々な理由がある。会見を行えば、個人への4月27日の段階では、どういった対応を行うか、まだ確定していなかった。総合的なパッケージとしてご案内できるタイミングということで、今日のタイミングになった。
Q:ファイアーウォールをすり抜けて入ってきたと言うことだが。
A:巧妙な手口で、正常なトランザクションとして入ってきて、正常なトランザクションとして帰って行く。残念ながら従来の仕組みではディテクトすることはできなかった。
Q:ログの情報の解析情報はどうなっているか。
A:ログをどのように解析しているか、これらの情報を保持しているかは、言い方が難しいが、今後の分析に委ねたい。
Q:アプリケーションサーバーへの不正アクセスはこれまでもあったのか。
A:これまではなかった。
Q:これから補償に関して、どの程度の額を考えているのか。個人情報流出については、他社などでは相応の賠償がこれまでの事例で出ているが。
A:クレジットカードの情報が漏洩したという証拠はない。また実際にクレジットカードの不正使用があったという事実はない。
個人情報の流出については、私(平井氏:編注)の理解では、まだ被害が出たという認識はない。被害が出た場合には対策していきたい。
Q:ハッカー集団、アノニマスとの関係はどのように考えているか。
A:アノニマスが本件に関与したという証拠は見つかっていない。
会見は説明も含めて1時間30分以上に及び、ソニー(株)代表執行役 副社長 件 SCE グループCEOの平井一夫氏らが、本件に関する質問に対してくわしく回答した。
ソニー側からの説明の内容はこちらで紹介したとおり。本項では、説明の後に行われた質疑応答を紹介したい。なお質問が多数だったため、一部重複していた質問と回答は割愛している。
Q:PSNのアカウントに登録されているクレジットカードの数は何枚か。
A:約1,000万枚だ。
Q:クレジットカードの情報が流出していない可能性について、その確度を教えて欲しい。
A:クレジットカードの情報が漏洩した証拠はないが、漏洩していないという宣言もできない。今のところカードの不正使用があったという報告は得ていないが、お客様の安心を確保したい。
Q:米下院などから様々な質問状が出ているが、こういった状況で再開が可能なのか。
A:アメリカの会員から質問状が来ている。真摯に対応し、質問に回答していきたい。サービス開始に当たって、各国各地域によって、様々な調整が必要な場合は、当然そちらの要求に従い、調整しながら行っていく。
Q:今回の件が業績にどう影響するか。
A:業績への影響は、データ保護のための費用や、クレジットカード再発行の手数料の負担、PSN/Qriocityへのサービス展開、停止中の売上げなど様々な要素があり、まだ精査できていない。精査できてから発表したい。
Q:不正アクセスの情報を得てからの初動について教えて欲しい。これは適正なものだったか。
A:最初に聞いたのは、不正アクセスがあった可能性があるという情報だった。その後調査していくうちに、かなり高度な技術を持っていることが徐々に分かっていった。
Q:漏洩したと見られる個人情報があるということだが、これは何を根拠にそう判断しているのか。また漏洩したと考えられるのは何人分なのか。
A:個人情報の流出については「可能性がある」ということで、どのデータがどの程度漏洩したかということは調査中で、断定できる段階にない。
だが一番多い数字で見積もると、7,700〜7,800万のアカウントの情報が漏洩していた可能性がある。ただし同じユーザーが複数アカウントを登録していることがあるので、何人分というカウントでいうと、7,800万人よりは少なくなる。
Q:FBIに捜査依頼を行っているという話があったが、被害届なのか告訴なのか。正式な刑事手続きは取っているのか。取っているならどういった手続きか。
A:SNEIはアメリカに本社がある会社なので、まずはFBIに捜査をお願いしている状況。それ以上の情報についてはコメントを差し控えたい。その他の国で捜査をお願いしているということは現段階ではないが、各国当局からの連絡は頂いているので、個別に対応させて頂きたい。
Q:流出したと考えている情報とそうでない情報、これを分けているものは何か。
A:個人情報については、持ち出された可能性はある。相対的にクレジットカード情報に対して持ち出された可能性が高いということだ。クレジットカード情報については、暗号化されていることと、データにアクセスした痕跡がないことから、その可能性は低いと考えている。
Q:アプリケーションサーバーの脆弱性ということだが、これは既知の脆弱性を突いたものだったのか、新たな脆弱性だったのか。また、サーバーのシステム構成はどうなっていたのか。
A:アプリケーションサーバーの脆弱性については、これは既知の脆弱性だった。SNEIのマネジメントがこれを認識していなかったということだ。こういった部分への対策を強化すべく、新たにChief Information Security Officer(CISO)職を設置した。
Q:PS3のシステムにも脆弱性があるということか?
A:システムソフトウェアのアップデートでは、様々なアップデートを行うが、一番ユーザーさんに対して見えてくるのは、パスワード変更をお願いすると言う部分だ。
Q:補償について。サービスの無料提供という話、クレジットカード再発行手数料などの話はあったが、そのほかに何か考えているか。
A:今のところはクレジットカード再発行を考えている。補償については地域別の展開を行っていきたい。
Q:情報開示のやり方に対して批判が集まっている。情報開示に問題はなかったと考えているか。
A:不正侵入があったという時点で、最初の対応をしたのが、PSN/Qriocityサービスを停止したということ。その後、膨大な情報を解析するのにかなり時間がかかった。お客様の情報がどう流出したのか、確度が上がった段階で公表したということ。なるべく確度の高い情報をお届けしたいと考えた。
Q:タブレットの発表を行った日には、本件について認識していたのか。
A:不正アクセスがあったことは認識していた。また、これに関して情報の詳細な分析を行っていることは認識していた。だが、その段階では確度の高い情報を提供する段階には至っていなかった。結果的にタブレットの発表直後に発表することになってしまった。
Q:不正アクセスの理由は何だと考えているか。ハッカー集団との戦いがあったようだが。
A:これまでハッカーから色々攻撃を受けてきたが、そこが関与しているという証拠はない。色々と理由はあると思うが、実際にどういう目的で不正行為を働いたかはわからない。
Q:パスワードの情報は暗号化されていなかったのか。それとも暗号化していたが破られたのか。
A:データベースに至るまでに様々なセキュリティ措置が取られていたが、パスワードについては暗号化されていなかった。ただしハッシュ化は行っていた。なお、クレジットカード番号はデータセンターの別の場所にあり、暗号化されていた。
Q:ソニーが推進するネットワーク戦略へのダメージについてどう考えているか。
A:PSNのさらなるワールドワイドな展開、Qriocityの全世界展開、タブレットやNGPの展開は、ネットワークが顧客体験に非常に密接に関わっている。これらをより豊かにするPSN/Qriocityの提供を、これからも継続させていただくというのが今後の道だと考えている。
Q:サービスを解約して欲しい、情報を抹消して欲しいというニーズにはどう答えるのか。
A:解約には真摯に対応させていただく。
Q:パスワード変更について。以前のパスワードが使えないような仕様になっているか。
A:様々な対策を施している。
Q:ほかのネットワーク会社でもこういった件での影響はあると思うが。
A:ネットワーク上での障害を来す行為があるというのは以前から分かっていたし、どのようにすればユーザーの情報を保護できるか、以前から取り組んできた。こういった事態を招いたことで、色々なことを全面的に見直していかなければならないと考えている。
Q:ハッカーやクラッカーなど、サーバー攻撃者に対して、今後どういうふうに付き合っていくか。
A:ユーザー様やサービス事業者様との、エコシステムを崩す行為であり、断固とした姿勢で取り組んでいかなければならないと考えている。
Q:米欧のブログで情報が先に出ていたようだが、これについてはどう考えているか。
A:アメリカとヨーロッパでブログを展開しているが、日本で流行っていなかった。今後、ユーザー様とのコミュニケーションツールとして、ブログを活用することをSCEJで検討している。
Q:金銭的な補償は考えているのか。
A:クレジットカードや個人情報流出に関する施策と、サービス停止で迷惑をおかけしたことに関する施策は分けて考えている。クレジットカードや個人情報に関する補償は、現段階ではクレジットカード情報が漏洩しているという根拠がない状況だ。。
Q:経営責任についてはどう考えているか。
A:本日はSCE、SNEIの責任者である私、平井が説明させていただいたわけだが、一番考えなければ行けないのは、ソニーのネットワークサービス、ネットワーク商品への信頼を取り戻すことが重要なポイントということ。まずは信頼をもう一度頂けるようにするということを、強く考えている。
Q:2〜3ヶ月に渡ってサーバへの攻撃があったのに、脆弱性が残されていたというのはなぜか。
A:これまでの攻撃の方法は、サーバーへメールを大量に一斉送付したり、役員の個人情報をばらまくと言ったものだった。残念ながら、こういった背景があったのに、サーバーの対策が甘かったのではないかと言われると、その通りと言わざるを得ない。
Q:PSNを解約したいという場合はどうすればよいのか。
A:定額課金サービスは「PlayStation Plus」のみで、基本的には退会という考え方はない。だが、もし退会したいという場合には、ウォレットに残っている金額の払い戻しなどを含めて検討していきたい。こういった部分を含めて考えていきたい。
Q:4月17日から19日にかけてサーバー攻撃があったということだが、なぜこれを検知できなかったのか。
A:検知精度を今後上げていく。脆弱性が発見されたときにパッチをすぐに当てられるというものではないが、こういった頻度を上げていく必要がある。
Q:PS3やPSPで、実際にPSNへアクセスしている台数はどの程度か。
A:実際にPSNへアクセスしているのは、PS3が約3,850万台、PSPが1,600万台程度と考えている。Qriocityはまだサービス開始間もないサービスで、これから伸びる段階だ。実際の数値はまだ公表していない。
Q:最初に告知を行った4月27日の段階で記者会見を行わなかったのはなぜか。
A:これには色々な理由がある。会見を行えば、個人への4月27日の段階では、どういった対応を行うか、まだ確定していなかった。総合的なパッケージとしてご案内できるタイミングということで、今日のタイミングになった。
Q:ファイアーウォールをすり抜けて入ってきたと言うことだが。
A:巧妙な手口で、正常なトランザクションとして入ってきて、正常なトランザクションとして帰って行く。残念ながら従来の仕組みではディテクトすることはできなかった。
Q:ログの情報の解析情報はどうなっているか。
A:ログをどのように解析しているか、これらの情報を保持しているかは、言い方が難しいが、今後の分析に委ねたい。
Q:アプリケーションサーバーへの不正アクセスはこれまでもあったのか。
A:これまではなかった。
Q:これから補償に関して、どの程度の額を考えているのか。個人情報流出については、他社などでは相応の賠償がこれまでの事例で出ているが。
A:クレジットカードの情報が漏洩したという証拠はない。また実際にクレジットカードの不正使用があったという事実はない。
個人情報の流出については、私(平井氏:編注)の理解では、まだ被害が出たという認識はない。被害が出た場合には対策していきたい。
Q:ハッカー集団、アノニマスとの関係はどのように考えているか。
A:アノニマスが本件に関与したという証拠は見つかっていない。