【記事】ソニー,PSNへの不正アクセスに関する記者会見を実施中

※15:30更新分
------

 ソニーは,PlayStation NetworkとQriocityの接続障害/不正アクセスに関する説明会を,本日(2011年5月1日)実施する。

 事前に告知されている主な内容は以下の4点。


  • 個人情報漏洩の事実関係と調査状況
  • 個人情報管理体制
  • お客様への対応について
  • サービス再開スケジュール

 説明会で公開された本件の経緯,PSNのユーザー数や,漏洩したと見られる個人情報は以下のとおりだ。なお,現在は,FBIへ犯罪行為について捜査依頼を行っているとのこと。

  • 米国時間19日にサーバーで不正な挙動を確認
  • 社内調査で,米国時間17日~19日にかけて不正アクセスがあったと判明
  • 同20日,IT情報セキュリティ専門会社に依頼し,共同で実態の把握に着手。調査のためのミラーサーバー作りに着手
  • 同24日,解析調査会社への依頼
  • 同26日,サイバーテロ行為が行われ,個人情報が漏洩した可能性を確認

日本におけるPlayStation Networkユーザー数:742万7038人

●漏洩したと見られる個人情報
  • 氏名
  • 性別
  • 住所(都道府県,市町村名,電話番号)
  • 国名
  • Eメールアドレス
  • 生年月日
  • PlayStation NetworkおよびQriocityログインパスワード
  • PlayStation NetworkオンラインID

●漏洩の証拠はないが漏洩の可能性があるとして注意喚起した個人情報
  • 購入履歴や請求先住所を含むプロフィールデータ
  • PlayStation NetworkおよびQriocityログインパスワード照合時の質問内容
  • クレジットカード番号(※セキュリティコードは含まず)および有効期限
 ※セキュリティコードの漏洩はなく,クレジット不正利用の形跡はない」

 また,ソニー株式会社 業務執行役員 シニア・バイス・プレジデント チーフ・インフォメーション・オフィサー長谷島氏によってPSNのセキュリティについて以下の説明がなされた

 ウェブサーバ,アプリケーションサーバ,データベースサーバの3層構造。各サーバにはファイアウォールが設置されているが,アプリケーションサーバの脆弱性を突かれた。アプリケーションサーバに攻撃用ツールが置かれ,そこからデータベースサーバのアクセス権を奪取し,情報漏洩の可能性を否定できない状態になった。

 続いて,ソニー・コンピュータエンタテインメント 代表取締役 社長 兼 グループCEO 平井一夫氏によって説明された,今後の対策とお詫び,経営戦略に関しては以下のとおり。

■対策
  • サンディエゴにあるサーバーを,よりセキュリティレベルの高い,別の都市にあるデータセンターへ移した(以前から計画されていたことを前倒し)
  • 新たな不正アクセスに対するソフトウェアの自動的なプロセス監視を行う。不正アクセスや不審操作を検証する。また,ファイアウォールを刷新
  • PS3システムソフトウェアをアップデート
  • 全ユーザーのPSNアカウントのパスワードを変更
  • クレジットカード不正使用防止のため,アカウントに登録しているクレジットカード情報の確認をユーザーにお願い
  • インターネット上でPSNやQriocityのパスワードと同じパスワードを使っている場合は,それらを変更するようお願い
  • いかなる場合でも,SCEからクレジットカード情報など個人情報を聞き出すことはない
  • クレジットカードの再発行を希望する場合はサポートする
  • 「Chief Information Security officerを新設。長谷島氏が就任

■お詫び
  • 特定コンテンツの無料ダウンロード
  • 定額制サービスパッケージ「PlayStation Plus」の30日間無料加入。加入者には30日間無料提供
  • Music Unlimited powered by Qriocity会員向けに30日間無料提供
  • これ以外にもさまざまなサービスを提供。地域ごとのサービスもある

■今後の経営戦略
ネットワーク戦略はソニーグループの最重要課題
  • SNEやグループ全体の情報管理体制の一層強化
  • アノニマスと名乗る団体からのサイバー攻撃が行われてきた。自社でのセキュリティ強化に加え,捜査当局や関係諸機関と協力し,違法な情報搾取行為に対しては毅然とした対応を継続する

われわれが最も大事にすべきユーザーの皆様に多大なるご迷惑をおかけしたことを心よりお詫び申し上げます。(平井氏)

 説明会の最後に行われた質疑応答では,以下のようなやりとりが行われた。


Q.
クレジットカードの不正使用に関する懸念があるなか,本当に一週間で再開できるのか? アメリカからは質問状が届いたりもしているようだが?

A.
(平井氏)クレジットカードの登録件数や約1000万枚。クレジットカードの不正使用があったという報告は今のところ聞いていない。アメリカから質問状をもらっている。それに対しては真摯に回答する。各国各地域でいろいろな調整が必要になることはあり,その場合は当然,条件を満たしてから再開することになる。ただ,「一週間以内を目処に」という考えは変わっていない。
(平井氏)クレジットカード再発行費用や,停止していた分の売り上げなど,経営にどれくらいの影響があるのか今のところは分からない。分かったらあらためてお知らせする。

Q.
アプリケーションサーバの脆弱性詳細は。どういうシステムだったのか?

A.
(長谷島氏)アプリケーションサーバ側の機器の脆弱性。世の中でよく知られていた脆弱性だったが,SNEIの担当者は認識していなかった。そこでCSIOを新設した。システムの詳細は,そこを突かれると問題なので公開できない

Q.
PS3のシステムアップデートの目的は?

A.
(長谷島氏)パスワードの変更をお願いするフローを追加するのがメイン。データセンターの移設,不正アクセスへの対策も含めて,セキュリティを万全にしてから再開したいため,システムアップデートを行う。

Q.
エンドユーザーへの保証,そのほかは?

A.
(平井氏)クレジットカードの再発行手数料は先ほど述べたが,地域によってはクレジットカード情報も含めて個人情報不正使用に関する保険システムがあり,そこではそれを無償で提供したりする。地域ごとに一番いい方法を提供したい。個人情報保護に関して地域別に展開したい。

Q.
海外でソニーの情報開示体勢について遅いと批判が高まっているが?

A.
(平井氏)不正侵入があった時点でサービスを停止し,その時点で不正アクセスの被害が広がらないようにした。PSN&Qriocityの大きなシステムを3社と共同で行ったが,それが膨大な作業になった。ある程度確度が上がったところで,お客様には情報を提示させていただいた。
 サービスの停止には,段階的な停止作業があるため時間がかかったのは事実だが,膨大なデータの解析に時間がかかったのが大きい。なるべく確度の高い情報をお客様にお届けしたいと判断したがゆえのスケジュールである。Sony Tabletを発表した時点では,確度の高いデータをお伝えできる状況にはなっていなかった。

Q.
パスワードが漏洩したのはなぜか? 

A.
(平井氏)クレジットカード以外の情報は,さまざまなセキュリティ策が講じられていたのは確かだが,暗号化されていなかった。クレジットカード情報はほかの場所にあり,それは暗号化されていた。
※長谷島氏により,「暗号化はされていないがハッシュ化は行われていた」と訂正

Q.
今回の件で仮にサービスを解約してほしい,記録されている個人情報を抹消してほしいという要請があった場合はどのように対応するのか。パスワードの変更時に変更しない人がたまにいるが,こういったことは防げるのでしょうか。

A.
(平井氏)PSNやQriocityの解約を望んだ場合は,地域ごとにシステムは異なるが,真摯に対応する。パスワードは,Webの告知などを使って,頻繁な再設定(=変更),同じようなパスワードを流用しないことなどを,個人情報保護の観点からお願いしていく。システムとして同じパスワードを設定できないようにしているかどうかは,していないと思うが,正確なところを確認してご案内する。

Q.
大規模なハッキングは起こりえるが,経営リスクとしてソニーはそれをどのように織り込んできたのか。また,海賊版対策が必要なハードウェアにおいて,そういった組織とどう相対していくのか。

A.
(平井氏)2番目について,PlayStationのビジネスモデルは,さまざまなソフトウェア,コンテンツを,ファースト&サードパーティから発売してもらうことになる。このエコシステムが崩れてしまうようなハッキング行為,海賊版が動くような行為は,健全なビデオゲーム業界のベーシックなところを壊してしまうので,安全なプラットフォームを提供するプラットフォームホルダーとして,断固な姿勢で挑んでいかねばらない。
 ソニーとしては,大規模なハッキングに対してはこれまでも,エンドユーザーの情報を保護していく対策を行ってきた。ただ,不備はあったはずであり,今後はシステム全体を見直さなければならない

(神戸氏)アノニマスを名乗る集団から,世界中のソニーのネットワークに対して繰り返しいろいろな攻撃があった。長谷島を中心に,最大限の防御態勢を敷いてきたのは事実。しかし,ネットワークサービスを根幹にしている以上,最大限の防御を行っていかねばならないが,ネットワーク社会においてソニー一社で対策をしていくのは難しいかもしれない。関係するグループ,業界,司法当局とも調整して,真剣に取り組んでいきたいと考えている。

Q.
金銭的な保証は考えているのか?

A.
(平井氏)お客様の情報を保護する観点からの施策と,ネットワークサービスが止まってしまったことへの無償提供は分けて考えている。補償についてはクレジットカード情報の漏洩の根拠がない,不正使用の実績がないという状況だが,不正使用が確認されれば,個別の対応をさせていただく。

Q.
経営責任をどう考えているか

A.
(平井氏)まずはいかにしてソニーのネットワークサービス,ネットワークコンテンツを信頼してもらうかが重要。そこをもう一度いただけるように持って行くのが重要だと考えている。

Q.
これまでの攻撃との違いは?

A.
(神戸氏)一つのサーバに大量のデータを送り込んでダウンさせるとか,入手した個人情報を流すということが典型で,それに対しては長谷島を中心とした対策をしてきたが,SNEIの対応が甘かったといわれればそうかもしれない。
(長谷島氏)アノニマスからの攻撃に対してはグループを上げて対策してきた。グループ全体として情報を共有し,対応を行ってきたが,方法については抜本的な見直しをしなければならない

Q.
すでにPSNの解約は始まっているのか?

A.
(平井氏)PSNは全世界で7700万アカウントあるが,それは月額課金があるようなサービスではなく,PlayStation Plusのみが課金対象となっている。課金サービスとして運営してこなかったため,退会というシステムは用意してこなかった。ただ,ウォレットというシステムを使った購入システムを設けてきたので,PlayStation Plusやウォレットの残金をrefundするようなことは,個別に対応する。実際のところ,コールセンターへの質問はクレジットカードや個人情報に関するものがほとんどで,退会に関する話はほとんどない。

Q.
日本の警察からの問い合わせはきているのか?

A.
(平井氏)我々が認識している限りはない。各国の捜査当局からの連絡は捜査協力依頼がメインで,それはいくつかもらっている

Q.
PlayStation Plusの30日間無料サービスを金額に換算するといくらくらいなのか。

A.
(平井氏)地域によってサービスが異なるので一概には言えない。

Q.
再発防止のために必要なこととは?

A.
(長谷島氏)データセンターそのものの堅牢性にも見直しが必要。脆弱性は,必ずしも発見のたびに対応できるわけではない。総合的に対処していく必要がある。

Q.
PSNに繋がっているPS3やPSPの数。Qriocity利用者数は?

A.
(平井氏)3700万台くらいが接続されている。インストールベースなら5000万台。PSPは1600万台前後が接続されている。Qriocityのほうはこれから発展していくサービスである。

Q.
4月27日に事実関係は分かったはずで,なぜその段階で会見しなかったのか?

A.
(平井氏)実際問題として4月27日の段階で発表した「漏洩の可能性のある情報」は,その時点で判明していたもの。ただ,会見にあたっては「再開に向けてどういうスケジュールか」「再開にあたってどうサービスを展開するのか」「個人情報保護に向けてソニーがどう動くのか」といった点について情報をまとめつつ,保険会社などとも協議するなどして,最短のタイミングになったのが本日。

Q.侵入はどのように行われたのか。

A.
(長谷島氏)今回の手口は,ファイアウォールでは検知できない,いわゆるトンネルで,正常なトランザクションとして入って,出て行くタイプ。従来の仕組みでは発見できなかった。当然,再発防止に向けたセキュリティシステムの導入,実施を行っている。詳細はセキュリティの都合上お話できない。


情報元:4gamer
http://www.4gamer.net/games/036/G003636/20110501003/





--------
4gamerが速報で会見内容をリリースしました。