写真●記者会見するソニーの平井一夫副社長(中央)
写真●記者会見するソニーの平井一夫副社長(中央)
[画像のクリックで拡大表示]

 ソニーは2011年5月1日、記者会見を開き、ソニー・コンピュータエンタテインメント(SCE)のインターネット配信サービス「PlayStation Network」(PSN)および「Qriocity」で、不正アクセスにより個人情報などが漏えいした問題について、経緯と対策を説明した(関連記事)。

 記者会見したソニーの平井一夫副社長(SCE社長、写真)は、「個人情報が漏えいした可能性があることで、お客様に多大なる心配をおかけした。サービスを長期停止したことも含め深くお詫びする」と陳謝した。その上で、今回の不正アクセスを「高度な技術を持ったサイバーテロ行為だ」と語り、各国の捜査当局と協力して不正アクセス者の特定と訴追に向けて調査を継続するとした。

 ソニーによると、米国時間の4月19日(日本時間4月20日)にサーバーで異常な動きを確認したことで問題を認識。社内調査により、4月17日から19日にかけて、米国のデータセンターにあるシステムへの不正アクセスがが判明し、PSNとQriocityのサービスを停止した。その後、IT情報セキュリティ会社など3社に依頼し実態把握を進めたところ、個人情報などが漏えいした可能性が判明した。

 今回の不正アクセスで狙われたのは、アプリケーションサーバーの脆弱性だった。侵入者はアプリケーションサーバーの脆弱性を突いて、不正ツールをサーバーに埋め込み、外部からの侵入経路を確立した。その結果、侵入者はデータベースに攻撃ができるアクセス権限を入手した。これにより、個人情報が保管されているデータベースへの不正アクセスを許してしまったという。

 ソニーの長谷島眞時CIO(最高情報責任者)は、「(今回標的になったものは)世の中で知られていた既知の脆弱性だったが、(ネット配信サービスを手がける米子会社である)Sony Network Entertainment International(SNEI)の経営層は認識していなかった」と語り、セキュリティ対策が不十分だったことを示唆した。

 その上で、データ保護と暗号化のレベルを強化し、不正なソフトウエア侵入、不正アクセス、不審行為の検知能力向上を図るとともに、他のデータセンターへの移管を前倒しして実施。さらにSNEI社内にCISO(Chief Infomation Security Officer、最高情報セキュリティ責任者)職を新設するなど、セキュリティ対策を強化するとした。また、PlayStation3システムソフトウエアのアップデートを通じて、すべてのPSN会員に対してパスワードの変更を要請すると発表した。

クレジットカード情報漏えいの証拠はなし

 今回の不正アクセスにより漏えいしたと見られる個人情報は、「氏名」「性別」「住所」「国名」「メールアドレス」「生年月日」「PSN/Qriocityログインパスワード」「PSNオンラインID」の8つ。

 「(PSNでの)購入履歴や請求先住所を含むプロフィールデータ」「PSN/Qriocityログインパスワード照合時の質問内容」「クレジットカード番号(セキュリティコードは含まず)および有効期限」の3つについては、漏えいの証拠はないが可能性があるとして、ユーザーに注意を促した。PSNの会員数は全世界で約7700万件(4月時点)で、そのうちクレジットカードでサービスを利用している会員数は約1000万件にのぼる。

 漏えい可能性がデータによって異なるのは、格納していたデータベースが異なるからだと説明した。平井副社長によると「クレジットカード情報は暗号化されていた上に、(氏名やログインパスワードとは)別のデータベースに保管していた」という。さらに、「(クレジットカードなどの)情報を読みに行った形跡がないことから“証拠がない”と分類している」(長谷島CIO)。

 会員に対する補償は、ゲームや音楽など一部のコンテンツを無料配信するほか、国によってはクレジットカードの再発行費用なども負担する予定だ。ただし、全会員一律の金銭面での補償については否定した。「現段階ではクレジットカード情報が漏えいしたという根拠がなく、さらに不正使用があったという証拠もソニーは把握していない。もしそうしたことが起きたら何らかの対応を考えるが、現時点では被害は出ていないと認識している」(平井副社長)。

 平井副社長は停止中のサービスを1週間以内に一部で再開し、5月末までに全面再開すると表明。「ネットワーク戦略はソニーグループの最重要戦略。セキュリティ対策を含め、一層強化していきたい」と強調した。