ソニーは2011年5月1日午後、東京都内の本社で、同社のネットワークサービスである「PlayStation Network」と「Qriocity(キュリオシティ)」へのハッカーによる不正アクセス事件に関連して、記者会見を開いた(関連記事1、関連記事2)。
ソニー・コンピュータエンタテインメント(SCE)代表取締役社長で、ソニーの代表執行役副社長を務める平井一夫氏と、ソニー業務執行役員CIO(最高情報責任者)の長谷島眞時氏が登壇。冒頭で利用者に謝罪した(写真1)。
長谷島CIO(写真2)は、「(日本時間の)4月21日に不正アクセスの報告を受けた。調査を進めるにつれて、対応が容易ではない巧妙な手口だということが分かってきた。どのようなデータが漏えいしているかの判断すらも困難な状況になった」と説明した。4月21日に社内に調査用のミラーサーバーを立てて解析を始め、深刻な事態だと判断した。4月25日までに外部のセキュリティー解析専門会社に分析を依頼。4月27日までに大規模な個人情報流出の可能性が判明したため、対外的な公表・注意喚起に踏み切った。
長谷島CIOはスライド(写真3)を用いて不正アクセスの経緯を説明した。ソニーのシステムは一般的なWebサーバー、アプリケーションサーバー、データベースサーバーの3層構造で構築されていた。不正アクセスによってアプリケーションサーバーの脆弱性を突かれ、外部からデータベースサーバーにアクセスできてしまう状況に陥ったという。
「既知の脆弱性」突かれる
不正アクセスの端緒となったアプリケーションサーバーの脆弱性について長谷島CIOは「既知の脆弱性だった」と明言したうえで、「経営陣が十分にリスクを認識していなかったというのが事実だ」と反省の弁を口にした。
プレイステーション3やプレイステーションポータブルからアクセスする「PlayStation Network」のアカウント数は全世界で約7700万件。このすべてが漏えいした可能性があるが、まだ被害状況は確定できていないという。
長谷島CIOは「漏えいしたとみられる個人情報」と「漏えいの証拠はないが漏えいの可能性があるとして注意喚起した個人情報」の2グループに分けて説明した。前者には利用者の氏名、性別、住所、電子メールアドレス、生年月日、ログインID・パスワードが含まれる。後者は購入履歴や請求先住所などのプロフィールデータ、ログインパスワード照合時の質問内容、クレジットカード番号・有効期限である。
2グループの違いについて、長谷島CIOは「後者のクレジットカード番号などのデータベースには今のところ不正アクセスされた形跡がない。暗号化もされている。これらが漏えいの可能性が比較的低い根拠になっている」と説明した。
再発防止策として、長谷島CIOの直下に新たにチーフ・インフォメーション・セキュリティー・オフィサー(CISO)職を設置したり、より安全性の高いデータセンターへの移設を前倒しで進めたりといった方針を示した。
会場には海外メディアも含む報道陣が多数集まった。個人情報漏えいへの補償などに対する厳しい質問が相次いだが「現時点では個人情報の不正利用は確認できていない」(平井代表執行役副社長)と慎重に説明した。
