【記事】ソニー、PSN / Qriocity 流出事件の発表遅れを釈明。個人情報は平文保存

27日に発表されたPlayStation Network とQriocity の個人情報漏洩は7700万件という規模や流出内容の深刻さから、各国の一般メディアでも大きく報じられる事態となりました。また漏洩を許したソニーのセキュリティ体制と並んで、「侵入を認識していながら、なぜサービス停止から1週間も消費者に警告しなかったのか？」も問われています。この点について、ソニーの広報担当者が理由を説明しています。ひと言でいえば、「事態を見極めるために時間が必要だったから」。

時系列を整理すると、ソニーが外部からの侵入を認識したのは4月17日から19日。サービスを停止させたのは21日。ただし、当初は「障害が発生しており調査を行っております」と発表していました。自発的に停止させたことを明らかにしたのは23日。個人情報の漏洩を発表したのは27日。つまり、ソニーは侵入を認識してサービスを停止させてから約一週間、問題を発表せずユーザーに対応の機会を与えなかったことになります。

ソニー・コンピュータエンタテイメント アメリカの広報責任者 Patrick Seybold 氏が公式Blogで述べたのは：

「侵入を把握してから、ユーザーの情報が漏洩したことに気付くまでには時間差がありました」
「分析には数日間を要し、また専門家が問題の規模と深刻さを理解したのは昨日でした。その後、われわれは得た情報を本日の午後(米国時間26日)に発表しました」。

漏洩を公表するまでのソニーの対応については、米Epsilon の顧客データ漏洩事件への追求でも知られるRichard Blumenthal 上院議員が、SCEAのCEO ジャック・トレットン氏を名指しした公開書簡で情報開示と適切な顧客保護を求めたり、あるいはSophos などセキュリティ専門企業のニュースレターでも強い疑問が呈されていました。外部の専門家の作業に時間がかかった、詳しく把握してから発表した、で納得してもらえるかどうかは分かりませんが、すでに米国ではソニーに対する訴訟がおきていることもあり、具体的にどの時点でどこまでの情報を把握していたのか、どの時点で公開すべきだったのか、といった点は今後否応なしに開示を迫られることが予想されます。

また、27日の発表時点では不明確だった点について、ソニーは追加のQAを公表して一部の疑問に答えています。たとえば「個人情報は暗号化されていましたか」への回答は、「クレジットカードのテーブルは暗号化されていましたが、個人情報テーブルは暗号化していませんでした」。(下に続きます)

QAの概要は：

Q: クレジットカード情報も漏洩したのか。
A: クレジットカード情報は暗号化されており、現時点で取得されたという証拠はないが、可能性は否定できない。PSN や Qriocity にカード情報を登録していた場合、念のため、カード番号と有効期限 (セキュリティコード除く) は第三者に知られたと考えて行動することを勧める。(セキュリティコードはもともと入力を求めていないためPSNにデータはない)。

Q: 個人情報を守るためにはどうすればよいのか
A: (27日の回答と重複。
・電子メールや電話、実住所に送られてくる手紙などを通じた詐欺や情報聞き出しに注意。ソニーがパスワードなどを尋ねることはない。
・カードの利用明細に注意。
・PSN と外部のサービスでログインID やパスワードを共用していた場合、それらを変更する。
・PSN にアクセスできるようになりしだい、パスワードを変更する。)

Q: PSN / Qriocity のパスワードはいつどうやったら変更できるのか
A: PSNが復旧してから、システムアップデートを通じてすべての利用者にパスワード変更を求める予定。

Q:ソニーは今後、個人情報の保護のためにどんな手を打つのか。
A: 現在までに、1. PSN / Qriocity の一時的な停止 2. セキュリティを向上させたネットワークの再構築. を実施した。今後はデータセンターを新たな場所に移転させる等の対策を順次実施してゆく。

Q: PSN / Qriocity に侵入し個人情報を盗んだ犯人は特定しているのか。
A: 外部の著名なセキュリティ企業や法執行機関と協力して徹底した捜査を実施している。

Q: PSN / Oriocity が復旧するのはいつか。
A: 一部のサービスについては一週間以内。

情報元：Engadget Japanese
http://japanese.engadget.com/2011/04/29/psn-qriocity/




－－－－－－－
世界規模での情報流出で、頭痛が痛いを通り越して厄介なことに巻き込まれた！
というレベルになってしまいましたが、GW中にPSNに登録してあるクレジットカードは再発行手続き、
メーアルアドレスとパスワードを同じにしてある登録サイトのパスワード変更（パスワード共通はセキュリティにならないのでお勧めできませんが）、クレジットカード利用履歴の照会をする必要がありそうです。

外部に登録してあるメールアドレスはこの際、新たなメールアドレスを取得して管理した方がいいかもしれません。
いずれにせよ、まだ流出における被害報告は無さそうですが被害が拡大する前に自衛した方がいいかもしれません。

しかし、鉄壁と思われたPSNが、こうもあっさりとクラッキングされるとは驚きです。