JPCERTコーディネーションセンター(JPCERT/CC)は2011年4月28日、ソニー・コンピュータエンタテインメント(SCE)のゲーム機向けネットワークサービス「PlayStation Network」(PSN)および音楽配信サービス「Qriocity」が不正アクセスを受けて個人情報などが漏えいした事件について、ユーザーにアカウント情報の不正使用などによる被害を防ぐための対策をとるよう注意を呼びかけた。
漏えい事件については、SCEの米国法人Sony Computer Entertainment America(SCEA)が米国時間4月26日に同社のWebページ上で発表(関連記事:不正侵入を受けたプレイステーションネットワークからユーザー情報が流出)、SCEも翌27日にWeb上で告知をしている(SCEの告知ページ)。
同告知によると、ユーザーがPSN/Qriocityサービスに登録した「氏名」「住所」「メールアドレス」「生年月日」「パスワード」「オンラインID」などが漏えいしたとみられるとし、購入履歴や請求先住所などについても漏えいした可能性があるという。さらに、ユーザーがクレジットカード情報を登録している場合、クレジットカード番号(セキュリティコードを除く)および有効期限に関する情報が漏えいした可能性も「現時点ではそのことを示す形跡は見つかっていないが、完全には否定できない」(SCE)としている。
「登録情報の使い回し」による2次的被害に注意
これを受けてJPCERT/CCでは、ユーザーがPSN/Qriocityサービスに登録しているアカウント情報 (IDおよびパスワード) を他のインターネットサービスでも使用している場合、クラッカー(攻撃者)が入手したアカウント情報を使って他のサービスを不正利用したり、個人情報やクレジットカード情報などを盗んだりする2次的被害を受ける危険があると警告している。
そのほか、(1)不正に入手した個人情報を使ってウイルスに感染させるようなWebサイトへ誘導する攻撃、(2)漏えい事件に関する問い合わせなどを装ったウイルス添付メールによる攻撃、(3)SCEの関係者を装って登録情報の変更などを促すフィッシングサイトに誘導する攻撃---などの攻撃が起こることも想定されるとし、こうした攻撃に備える必要があると説明している。
JPCERT/CCでは、被害を未然に防ぐための基本的な対策として、「サービスごとに異なるアカウント情報を登録する」「漏えい事件に関するメールを受信した際には送信者や本文に不審な点がないかを確認する」「SCEの関係者などを装ったメールが届いても、不用意に添付ファイルを開いたり記載されているURLにアクセスしたりしない」などの対策を紹介。
同時に、もし事件に関連して不審なサイトに誘導するメールや不審なファイルが添付されたメールを見かけた場合には、JPCERT/CCあるいはフィッシング対策協議会まで報告するようユーザーに協力を求めている。
■JPCERT/CCへの報告用Webページ
■フィッシング対策協議会への報告用Webページ
