大規模な個人情報漏洩が相次いでいる。米国時間4月26日にソニーが大規模な個人情報の漏洩が起きていると発表した。ソニー・コンピュータ エンタテインメント(SCE)が運営するゲーム機向けネットワークサービス「PlayStation Network」(PSN)への不正アクセスが主な原因だ。
漏洩した情報は延べ1億件を超える可能性があり、過去最大級の個人情報漏洩事件となる様相を呈している。
4月26日 SCE米国法人がPSNへの不正アクセスを発表
・不正侵入を受けたプレイステーションネットワークからユーザー情報が流出
5月1日 ソニー、SCEが記者会見を開催
・ソニーが約7700万件の個人情報漏えいを説明、「巧妙な手口防げず」
・「既知のサーバー脆弱性が原因」、個人情報漏えい問題で経緯を説明
・「現時点で被害はない」「断固とした姿勢で臨む」---会見の一問一答
5月3日 PSNへの不正アクセスとは別の攻撃があったと発表
・ソニーグループ企業にサイバー攻撃、2460万アカウントが流出の可能性
・ソニー、個人情報流出で一時停止中のサービスが再開延期
5月15日 PSNを一部再開
・ソニーのPSNサービスが一部再開、5月中の全面復旧を目指す
・復活「プレステ・ネットワーク」に、また脆弱性
JPCERT/CCは不正使用への備えを呼びかけ
・PlayStation Networkの情報漏えい事件、JPCERT/CCが不正使用への備えを呼びかけ
スクウェア・エニックスでも不正アクセスが判明
5月14日にはスクウェア・エニックスの欧州子会社が2万5000人分のメールアドレスを漏洩させた。同社が運営する複数のWebサイトに対し、外部からの不正アクセスがあったという。
・スクウェア・エニックスで大規模情報漏えい、メールアドレスなど2万5000人分以上
特定企業を狙いうちにする攻撃
両社は具体的な攻撃内容については明らかにしていない。規模を考えると特定組織を攻撃する「標的型攻撃」と考えるのが自然だろう。
ここ最近の大規模な標的型攻撃として有名なのは、グーグルやアドビシステムズなどの大手IT企業が受けた「オペレーション・オーロラ」だ。攻撃者はWindowsとInternet Explorerの脆弱性を悪用したコードを仕込んだWebページを用意し、メールなどで特定企業の従業員をそのページへと誘導した。
当然ながら、大手IT企業は様々なセキュリティ対策を講じている。しかし、オペレーション・オーロラが利用する脆弱性は対策パッチが出回る前の「ゼロデイ攻撃」だった。結果として、大手IT企業でも従業員のパソコンがマルウェアに感染し、サーバーへの攻撃の踏み台とされた可能性があった。
・Googleなどを狙う攻撃コードが流出、McAfeeが警戒を呼びかけ
・「オーロラ攻撃」の詳細
・「Trojan.Hydraq」による脅威、「オーロラ攻撃」のゼロディ・エクスプロイトを分析
ハッカー集団「Anonymous」が関与?
ソニーの情報漏えい事件に関しては、ハッカー集団「Anonymous」の関与が疑われている。ソニーが米国時間5月4日に米下院の小委員会に提出した書簡では、不正アクセスされたサーバーに「Anonymous」という名称のファイルを残していたという。
ただし、Anonymousの広報担当者はPSNのへの不正アクセスへの関与を否定している。
Anonymousは過去、内部告発サイト「Wikileaks」に敵対する企業にDDoS攻撃を仕掛けている。米PayPal、米マスターカードなどがWikiLeaksのアカウントを使用停止にしたことに反発し、DDoS攻撃でWebサイトの運営を妨害した。
・WikiLeaksに大騒ぎ
・MasterCardサイトにDoS攻撃、WikiLeaks支持グループの報復か
・WikiLeaksの支持派、WebでDDoS攻撃の目的を説明