ソニー・コンピュータエンタテインメントのゲーム機向けオンラインサービス「PlayStation Network(PSN;プレイステーション・ネットワーク)」および映画・音楽配信サービス「Qriocity」の情報漏洩に続き、米ソニー・オンライン・エンタテインメント(SOE)が管理・運営しているシステムの情報漏洩が問題となりましたが、7日には新たにソニーの米国子会社ソニー・エレクトロニクスのWebサイトから約2500人分の個人情報が漏洩したと報じられました。報道によると、5日の午後にハッカー交流サイトで指摘されていることを発見して削除したとのことですが、実際に個人情報の入ったExcelファイルが削除されたのは、私の知る限りでは6日になってからです。
この報道でハッカー交流サイトとされる掲示板が最初にこの問題を指摘したのではなく、Twitterで情報セキュリティの専門家が5日の夕方に指摘した、ある脆弱性が掲示板に転載されたのがきっかけでした。その脆弱性は、Webアプリケーションのソースコードが丸見えになっているというものでした。Webアプリケーションのソースコードが見えなくするのは基本的な設定作業で、必ず実施するものです。なぜなら、ソースコードが見えてしまうと、データベースへのアクセス方法や場合によってはパスワードまでもが露呈してしまい、泥棒に金庫の場所とアクセスコードを渡すようなものです。
Twitterでつぶやかれたすぐ後には、掲示板にそのWebアプリケーションへのURLが掲載されました。そのURLをクリックすると誰でもソースコードを見ることができました。するとたちまちそのソースコードが解析されてしまい、そのソースコードの中に問題のExcelファイルの名称があったのです。そのExcelファイルへの直接のURLが掲示板に掲載され、6日未明には海外のハッカー情報サイトに掲載されました。それから間もなく、リンク先のWebアプリケーションとExcelファイルはサーバーから削除されました。プレイステーション関連では、2000年にもWebサイトから情報が漏洩しています。このときも初歩的な脆弱性を突かれ、誰でも他人のデータを閲覧できるようになっていました。
さらに、7日夕方には、前述の掲示板で海外のソニー関連サイトのXSS(クロスサイトスクリプティング)の脆弱性が公開されました。XSSへの対策は、入力値や出力値のチェックを行えばいいのですが、これは今ではWebアプリケーションを開発する上では基本であるとされています。高度なテクニックではなく、特に大企業や大手通販サイトでは常識とされるレベルです。その他にも様々な脆弱性が情報セキュリティ専門家らの手によって発見されて情報処理推進機構(IPA)などの機関に報告されているようです。
5月1日には1週間後をめどにPSNとQriocityの一部のサービスを再開するとしていましたが、7日には延期が発表されました。ここ数日間の動きから、これからも脆弱性が指摘されたり情報漏洩につながる攻撃が行われたりすることが想定されたためでしょう。早急に建て直しを図り、日本を代表する企業として、これ以上の日本ブランドの失墜を避けるという意味でも、基本的な対策はもちろん、期待されるレベル以上のセキュリティ対策を講じて頂きたいと思います。
