HOME > ニュース > AV&ホームシアターニュース
公開日 2011/05/01 16:22
ソニー、PSN/Qriocity情報流出を説明 − サービス全面復旧は5月中。ユーザーへの補償策も発表
ソニー(株)と(株)ソニー・コンピュータエンタテインメントは本日、PlayStation NetworkとQriocityへの不正アクセス、および情報流出に関する説明会を開催した。
会見には、ソニー(株)代表執行役 副社長 コンスーマープロダクツ&サービスグループ プレジデントで、(株)ソニー・コンピュータエンタテインメント 代表取締役 社長 兼 グループ CEOの平井一夫氏らが出席。冒頭、ユーザーに「多大なご不便をおかけした」として頭を下げ、謝罪した。
同社では今回のサーバー停止と個人情報流出への、ユーザーへの「感謝の気持ち」として、特定コンテンツの無料ダウンロードサービス、定額制サービスパッケージ「PlayStation Plus」の30日間無料加入及び現行会員向けへの30日間無料提供、音楽配信サービス「Music Unlimited powered by Qriocity」(日本では未提供)会員向けの30日間無料提供などを行っていく。
また今後、これら以外のサービスも順次追加するほか、地域ごとに独自のサービスの提供を予定しているという。
クレジットカード情報の流出については、盗まれたという証拠は見つかっていないが、その可能性は否定できないとして、ユーザーの希望によりクレジットカードの再発行をサポートする。
また海外などでは、クレジットカードの本人確認の認証強度を高めるアイデンティティプロテクションサービスなどの利用を無料サポートすることを検討していくという。
■1週間以内にサービスを一部復旧、全面復旧は5月中
また同社は1週間以内に、PSN/Qriocityのサービスを、地域ごとに、段階的に復旧させていく予定と発表。また、PSN/Qriocityサービスの全面復旧は5月中を予定しているという。
■漏洩した情報とその理由
今回のサーバー攻撃で漏洩したと見られるのは、氏名、性別、住所、国名、Eメールアドレス、生年月日、PSN/Qriocityのログインパスワード、PSNのオンラインIDの各情報。
一方、漏洩の証拠はないが漏洩の可能性があるとして注意を喚起しているのは、購入履歴や請求先住所などを含むプロフィールデータ、PSN/Qriocityログインパスワード照合時の質問内容、クレジットカード(セキュリティコードは含まず)および有効期限となる。
同社が説明する今回の経緯としては、米国時間の4月19日にサーバーに異常な動きを確認。これを受けて、すぐに社内調査を開始した。調査の結果、17日から19日に不正があったことを確認。米国時間の20日にサーバーを停止して、システムの確認作業を実施したという。
さらに同日、20日に米セキュリティ専門会社に依頼し、共同で実態の把握に着手し、ミラーサーバーを設置したという。
調査を進めた結果、攻撃者が高い技術を持っていると判断されたことから、24日に別の解析調査会社へ依頼。高度な解析を含めてさらに徹底調査を継続した。
引き続き高度な調査解析を行った結果、米26日に個人情報が流出したということが否定できないとして、発表を行ったとしている。
■アプリケーションサーバーの脆弱性を突き侵入
今回の不正アクセス者は、アプリケーションサーバーの脆弱性を利用して不正にツールを導入。侵入経路を確立して、そこからデータベースサーバーへ不正アクセスし、情報を盗み出したと、ソニーでは分析している。
なお、アプリケーションサーバーの脆弱性は既知のものだったが、Sony Network Entertainment International(SNEI)で対策を怠っていたという。
■サービス全面復旧は5月中を目途に
今後、SCEとSNEIは、継続的にセキュリティ管理能力の向上に取り組み、段階的ににサービスを段階的に再開する。
同社では、すでに行っているセキュリティ対策を紹介。システムをよりセキュリティレベルの高いデータセンターへ移管する計画を前倒しで実施したという。
また、新たな不正なアクセスの検知機能を強化。新たな攻撃に対する自動的なソフトウェア監視機能と環境設定項目の管理機能の強化も図った。
さらにデータ保護と暗号化レベルの強化、PSN/Qrioityネットワークへの不明なソフトウェアの侵入や不正アクセス、不審行為の検知能力を向上させた。
また新たなファイアウォールの増設などを行った。これらの措置により、個人情報をより厳重に管理、保護する仕組みになったという。
加えてSNEI社内に、新たにChief Information Security Officer(CISO)職を設置。CISOは、ソニー(株)のチーフ・インフォメーション・オフィサー(CIO)である長谷島 眞時氏にレポートし、個人情報管理体制をさらに強化していく。
同時にPS3のシステムソフトバージョンアップも行い、すべてのPSNユーザーに対してパスワードの変更を求めていく。
■「ネットワーク戦略は一層強化する」
ソニーでは、現在のPS3やPSPだけでなく、タブレットやNGP、またBRAVIAなどAV機器を含め、ネットワークサービスを使って機器群をつなぐ構想を、今後の成長シナリオの中心に据えている。平井氏は今後の経営方針について、「ネットワーク戦略はソニーグループの最重要戦略の一つとして一層強化する」と述べ、こういった戦略の見直しを行う考えがないことを強調した。
今後はSNEIやソニーグループ全体の情報管理体制の一層強化を図り、個人情報保護の能力を高める。
平井氏はまた、「アノニマスというネット上のグループから、これまでにサーバーが攻撃を受けて、役員の個人情報や家族の情報をネット上で公開したり、店舗前での座り込みをネット上で呼びかけるということもあった」と述べ、こういったネット上での攻撃はソニーに対するものに限定されない、と説明。
今後は、個人情報の保護および安心で健全なネットワーク社会の発展に寄与するため、捜査当局や関係諸機関とも協力。ネットワークシステムへの犯罪行為に対しては毅然とした対応を取る、と述べた。現段階で、FBIに犯罪捜査への依頼を行っており、捜査状況は今後、報告できる状況になったら改めて発表するとしている。
会見には、ソニー(株)代表執行役 副社長 コンスーマープロダクツ&サービスグループ プレジデントで、(株)ソニー・コンピュータエンタテインメント 代表取締役 社長 兼 グループ CEOの平井一夫氏らが出席。冒頭、ユーザーに「多大なご不便をおかけした」として頭を下げ、謝罪した。
同社では今回のサーバー停止と個人情報流出への、ユーザーへの「感謝の気持ち」として、特定コンテンツの無料ダウンロードサービス、定額制サービスパッケージ「PlayStation Plus」の30日間無料加入及び現行会員向けへの30日間無料提供、音楽配信サービス「Music Unlimited powered by Qriocity」(日本では未提供)会員向けの30日間無料提供などを行っていく。
また今後、これら以外のサービスも順次追加するほか、地域ごとに独自のサービスの提供を予定しているという。
クレジットカード情報の流出については、盗まれたという証拠は見つかっていないが、その可能性は否定できないとして、ユーザーの希望によりクレジットカードの再発行をサポートする。
また海外などでは、クレジットカードの本人確認の認証強度を高めるアイデンティティプロテクションサービスなどの利用を無料サポートすることを検討していくという。
■1週間以内にサービスを一部復旧、全面復旧は5月中
また同社は1週間以内に、PSN/Qriocityのサービスを、地域ごとに、段階的に復旧させていく予定と発表。また、PSN/Qriocityサービスの全面復旧は5月中を予定しているという。
■漏洩した情報とその理由
今回のサーバー攻撃で漏洩したと見られるのは、氏名、性別、住所、国名、Eメールアドレス、生年月日、PSN/Qriocityのログインパスワード、PSNのオンラインIDの各情報。
一方、漏洩の証拠はないが漏洩の可能性があるとして注意を喚起しているのは、購入履歴や請求先住所などを含むプロフィールデータ、PSN/Qriocityログインパスワード照合時の質問内容、クレジットカード(セキュリティコードは含まず)および有効期限となる。
同社が説明する今回の経緯としては、米国時間の4月19日にサーバーに異常な動きを確認。これを受けて、すぐに社内調査を開始した。調査の結果、17日から19日に不正があったことを確認。米国時間の20日にサーバーを停止して、システムの確認作業を実施したという。
さらに同日、20日に米セキュリティ専門会社に依頼し、共同で実態の把握に着手し、ミラーサーバーを設置したという。
調査を進めた結果、攻撃者が高い技術を持っていると判断されたことから、24日に別の解析調査会社へ依頼。高度な解析を含めてさらに徹底調査を継続した。
引き続き高度な調査解析を行った結果、米26日に個人情報が流出したということが否定できないとして、発表を行ったとしている。
■アプリケーションサーバーの脆弱性を突き侵入
今回の不正アクセス者は、アプリケーションサーバーの脆弱性を利用して不正にツールを導入。侵入経路を確立して、そこからデータベースサーバーへ不正アクセスし、情報を盗み出したと、ソニーでは分析している。
なお、アプリケーションサーバーの脆弱性は既知のものだったが、Sony Network Entertainment International(SNEI)で対策を怠っていたという。
■サービス全面復旧は5月中を目途に
今後、SCEとSNEIは、継続的にセキュリティ管理能力の向上に取り組み、段階的ににサービスを段階的に再開する。
同社では、すでに行っているセキュリティ対策を紹介。システムをよりセキュリティレベルの高いデータセンターへ移管する計画を前倒しで実施したという。
また、新たな不正なアクセスの検知機能を強化。新たな攻撃に対する自動的なソフトウェア監視機能と環境設定項目の管理機能の強化も図った。
さらにデータ保護と暗号化レベルの強化、PSN/Qrioityネットワークへの不明なソフトウェアの侵入や不正アクセス、不審行為の検知能力を向上させた。
また新たなファイアウォールの増設などを行った。これらの措置により、個人情報をより厳重に管理、保護する仕組みになったという。
加えてSNEI社内に、新たにChief Information Security Officer(CISO)職を設置。CISOは、ソニー(株)のチーフ・インフォメーション・オフィサー(CIO)である長谷島 眞時氏にレポートし、個人情報管理体制をさらに強化していく。
同時にPS3のシステムソフトバージョンアップも行い、すべてのPSNユーザーに対してパスワードの変更を求めていく。
■「ネットワーク戦略は一層強化する」
ソニーでは、現在のPS3やPSPだけでなく、タブレットやNGP、またBRAVIAなどAV機器を含め、ネットワークサービスを使って機器群をつなぐ構想を、今後の成長シナリオの中心に据えている。平井氏は今後の経営方針について、「ネットワーク戦略はソニーグループの最重要戦略の一つとして一層強化する」と述べ、こういった戦略の見直しを行う考えがないことを強調した。
今後はSNEIやソニーグループ全体の情報管理体制の一層強化を図り、個人情報保護の能力を高める。
平井氏はまた、「アノニマスというネット上のグループから、これまでにサーバーが攻撃を受けて、役員の個人情報や家族の情報をネット上で公開したり、店舗前での座り込みをネット上で呼びかけるということもあった」と述べ、こういったネット上での攻撃はソニーに対するものに限定されない、と説明。
今後は、個人情報の保護および安心で健全なネットワーク社会の発展に寄与するため、捜査当局や関係諸機関とも協力。ネットワークシステムへの犯罪行為に対しては毅然とした対応を取る、と述べた。現段階で、FBIに犯罪捜査への依頼を行っており、捜査状況は今後、報告できる状況になったら改めて発表するとしている。