【記事】速報:ソニー PlayStation Network / Qriocity 漏洩事件 記者会見

資料によれば、漏洩した情報の種類、規模については更新なし。カード情報についても、漏洩した証拠はないが念のため注意を喚起したのままです。
会見終了。漏洩範囲などについては新情報なし。ハイライトとしては、
1.侵入を許したアプリケーションサーバの脆弱性は既知のものだった (すでに世間で知られている対策をとっていれば防げた)
2. 「被害」定義については、住所氏名などを含む個人情報が流出したことに対する被害と補償を問う質問に対して、平井氏の回答としては「クレジットカードの不正使用が確認できれば」そこで被害であり個別に対応するとの認識。
3. アノニマス


3:41PM Q:アノニマスについては、関係が分からないとはいいつつ、繰り返し言及するなど、強く示唆している発表だと思うが、今後はどのように対応してゆくのか。
A: アノニマスと今回の事件の関係を示唆するものでは一切ない。あくまで背景として伝えたのみ。直接・間接に関係があるという事実はない。あくまで背景であると認識していただきたい。


3:39PM Q:(さらに重ねて)個人情報についてはどうなのか。
A:平井:大変申し訳ないと考えている。さらに被害が出た場合は考える。Q:まだ被害は出てない?A:私の認識では、被害の報告はないと考えている。


3:38PM Q:問題はカードではない。住所氏名メール性別など、すでに個人情報が流れている。すでに被害があり、これまでの流出事件ではこれに対して賠償が行われている。

A:平井:PSNのウォレットをどうやって返還するかについて、対応を考えてる。


3:36PM Q:個人情報流出では一件につき数万円であるとか1万5000円であるといった賠償の例がある。ソニーとしてはどう考えているのか。
また、ソニーはPSNからの退会を認めていなかったが、これは個人情報保護からも問題があるのではないか。さらに、ソニーはこの規約を先日こっそりと書き換えている。こうした対応はいかがなものか。
A:平井:クレジットカードについては、各機関と協力して保護の方法に取り組んでいる。
もし、カードで被害がでたら、個別に対応する。


3:34PM Q:今年のあたまにルートキーの流出があった。ゲームでも不正があった。セキュリティは完全に破られたという論調もあった。根本的な対策をとらずに、安全なPSNに復帰できるのか。

A:平井:ハードウェアのセキュリティ保護レベルは可能なかぎり上げてゆく。ネットワーク側でも。この両側で対策する。PS3でも、本来想定していない使い方、著作権を無視するような使い方があれば強く対策してゆく。


3:31PM Q:アプリケーションサーバへの不正アクセスはこれまでにも形跡があったのか。17から19日のものだけなのか。
A:長谷島:これまでこうした不正アクセスがこれまであったかどうか。把握はしていない。17日から19日というタイミングについては、現在の検証の結果そう考えている。


3:29PM Q:ログの精査が不十分では。
A:今後の分析に委ねたい。

A:PSP 6900万 PS3 5000万、ネット接続率80%、とさっきの質問に回答。


3:28PM Q:アプリケーションサーバの脆弱性が狙われたという。FWなどをすり抜けたのはかなり異常ではないかと思うが、なぜ起きたのか。
A:長谷島:今回の手口は極めて巧妙で、トランザクションとしては正常に見えていた。従来の仕組みでは発見できなかった。
今後はさらに強固なセキュリティ施策をとってゆく。具体的には触れられない。


3:26PM Q:今日発表された漏洩についての内容は27日の発表から変わっていない。ではなぜ27日の段階で会見を開かなかったのか。

A:平井: 27日には判明したことを速やかに発表した。しかし再開の見込みや個人情報の保護についてどういった対策をとるのかといった質問に対して、さまざまな会社たとえば保険会社などと協議して検討してきた。そのうえで、なるべく早いタイミングの会見を設定した。


3:24PM Q:PS3 と PSPの数字を再確認したい。台数とシェアは。アカウント持ちの割合は。Qriocityの加入者は何人か。
A:そのあたりは後ほど。今日はPSの発表ではないため、最新のデータがない。
PS3については、概算で5000万台程度。PSPについては、PSNに接続しているのが1500万台程度。
Qriocityについては、開始したばかりのサービスであり、対応デバイスも少ない。これからのサービス。発表はしていない。


3:21PM Q: 20日に停止したというが、侵入をなぜ検知できなかったのか。どのような対策をするのか。
A:長谷島:対策について。。。(資料を確認して) 脆弱性についてきちんと対応してゆく、データセンターの引越しなど手を打ってゆく。ひとつだけではなく、総合的な力をつけてゆくことに尽きるのではないかと考えている。


3:19PM Q:ソニーは日本の会社だが、日本の警察との協力はしていないのか。
A:われわれが認識しているかぎり、日本の警察から問い合わせはない。

Q:30日間無料やフリーコンテンツを金額に換算するとどうなるか。
A:地域により異なるため一概にはいえない。ダウンロードコンテンツについては、数千円のものもある。地域によってさまざまな組み合わせで提供してゆきたいと考えている。


3:17PM (現時点では、アカウント数は7700万と再確認)


3:16PM Q:現時点て解約をしたい、したというユーザーはどの程度いるのか。動きはあるのか。
A:(平井) 7800万アカウントというが、毎月の課金があるようなサービスではない。課金があるのはPS Plusのみ。それ以外は会員として退会・入会するというようなものではない。

しかしウォレットはある。かりに、あえて「退会」というような、今後はつかわないという判断があるとすれば、ウォレットに残っている金額をどうするか、Plusの残り期間をどうするかといった点については、個別に対応してゆきたい。

現状、コールセンターに入っている問い合わせについては、再開の日程やカード情報についてが多い。会員というコンセプトではないため、退会の問い合わせは現時点で少ない。


3:13PM A:長谷島:Anonymousにたいしてはソニーグループを挙げて防御、対応してきた。しかしこのようなことがおこってしまった。見直しをしてゆきたい。


3:12PM Q:先ほど、2, 3か月にわたって最大限のディフェンスをしてきた、外部のセキュリティ企業とも協力といったが、それなのに脆弱性で事件をおこすとはどういうことか?

A:(神戸)メールボムやDDoSに対してはさまざまな対策をとってきたが、そのほかの部分について甘かったのではないかと言われれば仕方がない。


3:10PM Q:経営責任については。
A:(平井) 一番これから考えなければならないのは、ユーザーに対していかに、ソニーのネットワークサービスや製品に対する信頼を寄せていただけるようになるのか。信頼をもう一度ユーザーからいただけるようなソニーに持ってゆきたいと、強く考えている。


3:08PM A:現段階では、クレジットカードの漏洩があったか分からない。もし不正使用があって、個別の被害があったことが判明したなら、当然ながら個別に対応する。


3:07PM Q:補償について。30日無料やダウンロードコンテンツなどがあったが、金銭的な補償はあるのか。
A:クレジットカード情報や個人情報保護についての手数料負担に対する施策と、サービスが停止してしまったことに対する補償とは別。分けて考える。


3:06PM A:(平井)ルートキーについて。一概にはいえないが、ビジネスのもっとも基本的な部分のIPを保護するための部分に「脆弱性を作ってしまう」行為があれば、厳しく対応してゆく。


3:05PM A:情報開示について。地域によりさまざまなユーザーとのコミュニケーション方法がある。ブログはEUとUSにある。逆に(?)、さまざまなウェブで告知をしている。
今後、日本でもBlogを展開することをSCEJで検討している。
EUやUSでは地域ごとの特性があった情報公開をしていた場合はあるが、発表していた内容についてはそれほどかわりがないのではないかと考えている。


3:03PM Q: 情報開示のスピードについて。SCEAのブログでは日本より早く的確だった。なぜか。
もうひとつ、PS3のルートキー漏洩への対処はあるのか。


3:02PM (ここで補足。長谷島「パスワードについては、暗号化はされていないがハッシュ化はされていた」。)


3:02PM A:ソニーとしては従来からセキュリティに対してさまざまな取組を行って来た。個人情報保護についてもずいぶん前から取り組んできた。しかし今回の件もあったので、さらに迅速な対応や告知ができないか、システム全体を見直せないかと考えている。(平井)

神戸:Anonymousについて。攻撃が繰り返しあったことは事実。CIOの長谷島をはじめ、外部の専門家をやとって、さまざまなディフェンスをおこなってきた。しかし残念ながらこうした事態になった。しかしソニーのとして根幹ビジネスにする以上、取り組んでゆかねばならないが、ソニー一社で対応するには難しい問題かもしれない。ネットワーク社会として、どうとりくんでゆくか。ソニーとしても取り組むが、関係する団体・司法当局とも協力して取り組んでゆこうと考えている。


2:59PM


2:58PM A:ハッキングについて。 プレイステーションのエコシステムはサードパーティにソフトを提供してもらうプラットフォームホルダーとして、IPを保護することが必要。よって、このエコシステムを崩すようなハッキング行為、もしくは海賊版が動くような行為、たとえばPSPの改造といった行為は、ゲーム業界のもっとも基本的な部分を壊してしまう。断固とした態度をとってゆく必要があると考えている。


2:56PM Q:西田さん。大規模なハッキングはこうしたサービスを提供するどの企業でもあったと思うが、ソニーとしては経営リスクにどの程度織り込んでいたのか。
また製品での対策は。


2:54PM Q:同一パスワードの設定を防ぐシステムは?A:認識している限りない。


2:54PM A:残念ながら解約ということになれば、「真摯に対応させてゆくということになるかと考えている」(平井)。パスワードについては、ウェブの告知であるとか、パスワードの頻繁な再設定や別サービスでの流用をしないといった教育をおこなってゆく。今回の件とは独立して、一般に重要な点。


2:52PM Q:サービスを解約したい、情報を削除してほしいとのニーズにはどうするのか。また、パスの再設定は本当に変更してくれない人の問題がある。防ぐ手立ては。


2:51PM A:現時点で、タブレットもNGPも投入計画に変更はない。


2:51PM Q:ソニーの戦略へのダメージは。
A:QriocityやPSNの拡大、タブレット、NGPのどれも顧客体験にネットワークが非常に密接なかかわりを持っている。この件では短期的・長期的に対処してゆくが、まずはソニーのネットワークサービス、製品についての信頼を勝ちとってゆく、喜んでいただけるような製品を提供してゆくことが重要。これからもロードマップを引いて進んでゆかなければならない道と考えている。


2:49PM


2:48PM A:平井:パスワードは暗号化しておりませんでした。カードは暗号化しておりませんでした。


2:47PM Q:パスワードは暗号化して保存するのが常識だが、なぜ漏洩できるのか。暗号化していてもサーバの脆弱性で無意味であったのならば、クレジットカードについても危険なのではないか。


2:46PM A: 平井:Anonymousからさまざまな攻撃があったが、因果関係は分かっていない。関係が証明されたわけではない。
侵入の目的についても、推測はあると思うが現時点ではまだお話できない。
情報を持っていて出さないのではなく、現時点では推測しかできない。


2:45PM Q: ソニーとしては、不正侵入の目的はなんだと考えているのか?カードを盗んでいないとすれば、金銭目的ではない可能性もある。ハッカーとの抗争には関係があると考えているか。


2:44PM Q:25日にソニータブレットを発表した際にはすでに分かっていたのか。
A:平井氏:認識しておりました。
確度の高い情報を伝えるため、発表は一日あとになってしまった。


2:43PM サービスを停止するのにも、段階的な作業が必要。解析を含めて、ユーザーにできるだけ確度の高い情報を提供するための判断。


2:43PM Q:対応の遅れについて批判があるが。記者会見ももっと早くひらけたのではないか。A:すでに説明した経緯のように、問題が発覚し次第システムを停止した。巨大なシステムのスナップショットを撮る必要があり、時間を要した。個人情報の漏洩の可能性が判明したところで外部への発表を判断した。


2:41PM


2:40PM A:地域によってはカード監視サービスや保険といったサービスがあり、その費用を負担することを検討する。個別に、各地域のユーザーにとって一番良い方法を考える。


2:39PM Q: 補償について。サービスを無償提供、そしてカード再発行手数料の負担があったが、それ以外にあるのか


2:37PM A: 脆弱性は既知のもの。世の中では知られていたが、SNEIのサーバ担当は知らなかった。現在はこの点を強化してゆく。


2:36PM Q:アプリケーションサーバの脆弱性を突かれたと言うが、既知のものだったのか。どういったサーバなのか。


2:36PM A:調査の結果、カード情報よりは氏名やパスワードなどの情報のほうが漏洩した可能性が高いと判断した。クレジットカードの漏洩可能性が低いと判断しているのは、まず暗号化。および、DBに読みに行った形跡が見つからない。


2:34PM Q:では、漏洩した可能性があるもの、とカード情報含め「否定出来ないもの」に分けている理由はなんだ?


2:34PM Q:データを持ち出された証拠はあるのか?A:断定には至っていない。可能性は否定出来ないため、お客様の安全確保のためにも「これは告知したほうがよいという判断」をした。


2:33PM FBIに捜査への協力を依頼している。始まったばかりで、詳細は控えさせていただきたい。米国以外の国では捜査当局と協力しているかどうかは確認していない。しかし問い合わせはあるため、個別に対応する。


2:32PM 「7800万アカウントと申しましても、一人のユーザーのかたが複数を登録している場合がございますので」。実際には重複している場合がある。しかしデータの数としては7800万。


2:31PM A: 漏洩した可能性がある個人情報についても、実際には可能性。実際にどの程度漏洩したかは調査中であり、残念ながら断定に至らない。一番大きい数でいえば7700万から7800万。


2:30PM Q:カード情報は漏洩の証拠はないとしているが、そのほかの住所氏名は漏洩したと判断したのか。また、FBIとの協力というが、実際に刑事手続はとっているのか。罪状は。


2:29PM A:当初は不正アクセスがあるかもしれないという段階だった。その後に捜査を続け、個人情報の漏洩の可能性が判明した。実際に漏洩したかどうかはいまだに確認出来ていない。


2:28PM Q: CIOの長谷島氏へ。最初に上がってきた異常の報告はどのような形だったのか。初動でこの事態を回避することはできたと思うか。


2:27PM 業績について。カード更新手数料の負担やサービス停止中のオンラインサービス売上などが考えられる。現時点ではまだ分かっていないため、わかり次第報告する。


2:26PM 各国の当局から要求事項があった場合は遵守する。が、基本的には一週間以内に一部サービスから再開する計画。


2:25PM 米国下院から質問状が届いている件について。真摯に回答してゆく。


2:25PM A: 平井氏。カード数は1000万件。漏洩したという確固とした証拠はない。しかししていないという証拠もない。いまのところ、不正使用があったという報告はないが、ユーザーの安全のためカードについても発表した。


2:24PM Q: カードの件。最大で一千万件なのか。本当に流出していないのか? また再開予定について。各国当局から問い合わせがあるが、そのなかで再開は可能なのか。停止が続いた場合、業績への影響は。


2:22PM 続いて質疑応答セッション。


2:22PM 「関係があるのかどうかは分かりませんが」、と前置きして、アノニマスによる攻撃や抗議に触れ、「サイバー攻撃」に毅然と対処する姿勢を明確にする。


2:21PM 「安心で健全なネットワーク社会の発展に寄与するため」当局や諸機関との協力。犯罪には毅然として態度で望む。


2:20PM 今後の経営方針について。ネットワーク戦略はソニーの最重要戦略として一層強化。情報管理体制の強化。


2:19PM 一部サービスの再開は「一週間以内」。全面的な復旧は今月中を予定。


2:18PM ユーザーへの感謝として、前述した無料コンテンツや30日間無料サービスの提供。


2:16PM そのほか、カード履歴の確認やフィッシングに対する注意など、27日の発表と同一内容を平石が繰り返し。


2:16PM および、PS3向けの新ファームウェアの配布。全員にパスワード更新を求める。


2:15PM SNEI CIO直下にセキュリティ担当のCISO職の設置。


2:14PM 対策として、以前より計画していたデータセンターのリロケーションを前倒し実行。
プロセス監視など不正アクセスへの対策強化。暗号化強化。FWの増設。


2:12PM これに加えてプリペイドなど。


2:12PM 有効クレジットカードの登録数は全世界で約1000万。


2:11PM 脆弱性はアプリケーションサーバ。不正ツールをインストールし、データベースサーバにアクセス。


2:10PM 続いて侵入の具体的な経路について。


2:10PM 漏洩したと見られる個人情報 (ログインパスワードや氏名住所、メール、性別、誕生日etc)、および証拠はないが漏洩の可能性もある情報 (クレジットカード、パスワードの質問etc)は更新なし。


2:08PM 26日、個人情報漏洩の可能性が判明。「サイバーテロ事件」。


2:07PM 調査の結果、高度な技術を持った侵入者と判明。もう一社のセキュリティ専門企業と協力。


2:06PM 事件について解説。ネットワーク担当はSNEI。17日にサーバ上で異常な動作を関知。米国時間で20日にサーバを停止。本格的な調査を開始。同日、セキュリティ専門企業への調査を依頼。ミラーサーバを構築。


2:04PM まずは平井氏から。挨拶と3氏揃って「申し訳ありませんでした」。日本的に深々と頭を垂れて謝罪。


2:03PM 登壇者は平井副社長、SNEI CIO 長谷島眞時 氏、広報担当SVP 神戸氏。


2:01PM 会見が始まりました。


2:00PM 漏洩への対策としては、SNEI (Sony Network Entertainment International)内に新たにCISO 職の設置。チーフインフォメーションセキュリティオフィサー。CIOである長谷島眞時 氏直下。


1:57PM そのほか、地域に応じたサービスを近日中に提供。


1:55PM ・特定コンテンツの無料ダウンロード
・PS Plus の30日無料体験 (既存会員には30日延長)
・Music Unlimited の30日無料体験


1:54PM また、ユーザーへの「感謝の気持ちをこめて」提供されるのは:


1:53PM ・PS3 / PSP でのオンラインマルチ対戦、PSNオンライン認証が必要なゲームのプレイ。
・PSNの動画配信サービスでダウンロードずみレンタルコンテンツの再生。(期限内にかぎる)
・Music Unlimited (Qriocity) の現行会員に対して、PS3およびPSPでの音楽再生。
・PlayStation Plusの各機能。
・Home
・アカウント管理およびパスワードリセット
・トロフィーなどのフレンド機能、およびチャット機能


1:49PM サービスは「近日中に、地域ごとに」段階的に復旧させてゆく予定。具体的な日時はなし。当初復旧するサービスは:



情報元:Engadget Japanese




------
さすがEngadgetですね。細かいです。
まだ、漏洩したという確証が無いという点を強調していましたが、PSNのクレジットカード不正チャージなど、かなり以前からあった問題についても追求を受けている部分もあり、実質的にセキュリティホールがありながら、後手に廻っていたという印象でした。

今後、世界の当局やユーザー、サードパーティなどの調整があり、ソニーは大きな試練に立たされたようです。

早くPSNが安全に復旧するといいですね。
復旧したらすぐにパスワード変更しましょう…(ガクガクブルブル