logo

ソニーとSCE、PSNの不正アクセス問題を受け会見を実施--PSNのサービスを一週間以内に一部再開へ

佐藤和也 (編集部)2011年05月01日 20時07分
  • このエントリーをはてなブックマークに追加

 ソニーならびにソニー・コンピュータエンタテインメント(SCE)は、PlayStation Network(PSN)/Qriocityの不正アクセスと、それにともなう個人情報流出に関する記者発表を本日5月1日に行った。

 会見ではソニー代表執行役 副社長 コンスーマープロダクツ&サービスグループ プレジデントならびにSCE代表取締役 社長兼グループCEO 平井一夫氏、ソニー業務執行役員 シニア・バイス・プレジデント チーフ・インフォメーション・オフィサー ビジネス・トランスフォーメーション/ISセンター長 長谷島眞時氏、ソニー業務執行役員シニア・バイス・プレジデント 広報・CSR 担当、広報センター長 神戸司郎氏の3名が登壇。今回の不正アクセスによる個人情報漏洩に関する事実関係やサービス再開に向けたスケジュールなどが説明された。

◇事態の推移を公表。不正アクセスの要因はアプリケーションサーバの脆弱性

 説明会において公開された本件の経緯については次のようになっている。

・米国4月19日(日本時間20日):サーバーに異常な動作を確認。
・米国4月20日(日本時間21日):社内調査で4月17日から19日に不正アクセスが行われていたことが判明。本格的な調査を行うため、PSNとQriocityのサービスを停止。さらに同日、IT情報セキュリティー会社に調査を依頼し、共同で実態の把握に着手。調査のためのミラーサーバーづくりにも着手。
・米国4月24日(日本時間25日):解析調査会社への依頼をし、高度な解析を含めての徹底調査を継続。
・米国4月26日(日本時間27日):個人情報漏洩の可能性が判明。本件のウェブ告知やセキュリティー確保の注意喚起をサイトとEメールで通知。

 なお不正アクセスの経路や手段、原因として、まずSony Network Entertainment International(SNEI)が管理する米国サンディエゴ市内のPSNデータセンターにあるシステムへのサイバー攻撃を受けたとしている。そのシステムはウェブサーバ、アプリケーションサーバ、データベースサーバの3層構造となっているが、各サーバにはファイアウォールが設置され、本来はそこでブロックされるはずが、アプリケーションサーバの脆弱性を突かれたとしている。そして不正なツールにより進入経路を確立し、個人情報が置かれているデータベースに不正アクセスしたという。アプリケーションサーバの脆弱性について長谷島氏は、セキュリティ上の都合で詳細は公表できないとしながらも、「(アプリケーションサーバの)機器の脆弱性。よく知られる脆弱性でだったが、SNEI側では認知していなかった」とコメント。

ソニー・コンピュータエンタテインメント 不正アクセスの原因・経路の解説時に用いられたスライド。

 なお今回の不正アクセスを受けて、システムをよりセキュリティレベルの高いほかのデータセンターへの移管を前倒しして実施したほか、ファイアウォールの増設のほか不正アクセスに関する監視や検知機能の強化など。個人情報のより厳重に管理、保護する取り組みを行っていくという。また今回の件の捜査において、SNEIが米国に本社があることから米連邦捜査局(FBI)に依頼したことも公表した。

◇クレジットカードの漏洩は「可能性が低い」

 現時点の調査結果において、漏洩したと見られる個人情報については、「名前」、「国と住所」、「e-mailアドレス」、「誕生日」、「性別」、「PSN/Qriocityのログインパスワード」、「オンラインID」。また漏洩はないが、漏洩の可能性もある個人情報として、「過去の買い物履歴と請求先を含むプロフィールデータ」、「PSN/Qriocityのログインパスワード」、「クレジットカード番号(セキュリティコードを除く)と有効期限」としている。なお対象となるアカウント数については全世界で約7700万件、そのうち日本におけるアカウント数は742万7038件と公表した。

 特にクレジットカードに関する情報について気になるところだが、現在登録されている有効なクレジットカード件数は約1000万ほどにあるという。また、「漏洩はないが、漏洩の可能性もある」と、他の個人情報と切り分けられている点については、クレジットカードに関する情報は暗号化されているのと、データベースを外部侵入者がその項目を読みに行った形跡が無いこと、さらにはセキュリティコードの漏洩はなく、クレジットの不正利用の形跡が現段階ではないことを根拠としている。

 なお改めて不正ログインや不正使用防止のため、アカウントに登録している情報の詳細や、クレジットカード引き落とし履歴などの定期的な確認をお願いとして告知。また、インターネット上でPSN/Qriocityと同じユーザーIDや同じパスワードを使用している場合は、それらを変更するよう強く推奨した。なおいかなる場合においても、SCEからクレジットカード情報などの個人情報をEメールなどでたずねることはなく、個人情報を聞き出そうとする手口に対する注意喚起を行った。また地域の状況に応じてクレジットカードの再発行を希望する場合のサポートなどを行っていくという。

◇一部サービスを一週間以内に再開。全面再開は5月中を目指す

 PSNのサービス再開にあたり、PS3のシステムソフトウェアのバージョンアップを行い、全てのPSNユーザーにアカウントのパスワード変更を実施する。またPSN/Qriocityのサービス再開の時期として、一部機能を一週間以内をメドに地域ごとに順次再開するという。その機能は次の通り。

・PS3およびPSPでのオンライン対戦、PSNへのログイン認証が必要なタイトルおよびダウンロードされたタイトルのゲームプレイ
・PSNのビデオ配信サービスでダウンロード済みのレンタル映像コンテンツのPS3、PSP、Media Goでの再生(有効期限内に限る)
・音楽配信サービス 「Music Unlimited powered by Qriocity (“キュリオシティ”ミュージックアンリミテッド)」のPS3およびPSPでの再生(現行の会員限定)(※日本未サービス)
・PlayStation Plusの各機能
・PlayStation Home
・アカウント管理、パスワードリセット
・トロフィーなどのフレンド機能
・チャット機能

 なお全面再開の時期として「今月中を目指す」としている。

 またユーザーへのお詫びとして以下のサービスを提供することも発表。内容は次の通りだが、さらに下記以外のサービスも順次追加するほか、地域ごとの独自サービスの提供も予定しているとのこと。

・ 特定コンテンツの無料ダウンロード
・定額制サービスパッケージ「PlayStation Plus」の30日間無料加入および現行会員様向けに30日間無料提供
・”Music Unlimited powered by Qriocity”会員向けに30日間無料提供(※日本未サービス)

 なお、PSNを退会したい場合に、チャージしているウォレットが残っていても退会できるような仕組みを検討しているとのこと。

◇新製品の販売予定は「変更無し」

平井一夫氏 平井一夫氏

 その後の質疑応答のなかで、情報開示が遅かった批判については、膨大なデータの解析に時間がかかったことや、なるべく確度の高い情報を提供したいという判断があったと理由として述べ、さらに会見がこの時期になったことについては、再開に向けてのスケジュールやサービスを展開、個人情報保護に向けてソニーがどう動くのかをまとめつつ、関係各所との協議の上で本日になったと語った。

 ソニーへのサイバー攻撃を行っているとされるクラッカー集団「アノニマス」が今回の件に関係していかどうかについては、これまで数カ月攻撃を受けてきたことは明らかにしつつも「今回の件は定かではない」としている。その一方ネットワークシステムへの犯罪行為には対しては毅然とした対応を継続していくとした。また個人情報流出に関する金銭補償についても質問が相次いでいたが、現段階でのクレジットカードの不正利用が確定していない現状から、その発覚があり被害が確認された場合に個別に対応するという回答にとどまった。

 今後の経営戦略においてネットワーク戦略はソニーグループの最重要戦略のひとつとして一層の強化を表明し、ソニーグループ全体の情報管理体制の強化も表明。先日発表されたタブレット端末「Sony Tablet(ソニータブレット)」や、「Next Generation Portable(NGP)」の販売予定についても変更はないとした。

「PlayStation Network」障害に関する最新情報
http://cdn.jp.playstation.com/msg/state.html

-PR-企画特集