[jp]ソニーはPlayStation Network/Qriocityの不正アクセスの手段を発表。全面サービス再開は今月中に
by Ryuichi Nishida on 2011年5月1日

本日14時(日本時間)にソニーおよびソニー・コンピュータエンタテインメントはPlayStation Network/Qriocityの不正アクセスに関する記者発表を行った。この件に関してはオンライン上で情報を提示してきたが、この事実に対して初めて詳細な情報を開示した。

不正アクセス手段はSony Netwrok Entertainment International(SNEI)が管理する米サンディエゴにあるPlayStation Networkのデータセンターにあるアプリケーションサーバーの脆弱性をついて、外部侵入者が不正な通信ツールをインストールし、それを利用して個人情報が格納されているデータベースに不正アクセスしたという。問題なのは、これは機器の脆弱性であり、既知の脆弱性だったが、ソニー側では認知していなかったことだろう。

漏洩したと見られる情報は、「名前」「国と住所」「Emailアドレス」「誕生日」「性別」「PlayStation Network/Qriocityのログインパスワード」「オンラインID」だという。ただ、どの情報がどれぐらいの数かは断定できず、すべての情報だとすれば過去にも報道されているように最大ではおよそ7,700万アカウントの情報が漏洩していた可能性がある(同一人物が複数アカウントを持っているケースもある)。なお、パスワードはハッシュ化はされていたものの暗号化はされていなかった。

一方、クレジットカードに関する情報は漏洩した証拠はないが、クレジットカードに関する情報は暗号化されているのとデータベースを(外部侵入者が)読みに行った可能性が低いため、上記の名前やパスワードなどの情報とは漏洩の状況を切り分けて考えているものの、漏洩の可能性は否定できないとしている。現在、登録されている有効なクレジットカード件数は1,000万ほどあるという。このほか、過去の買い物利益」と「請求書住所」、「ログインパスワードの照合時の質問」、「クレジットカード有効期限」なども同様の状況のようだが、クレジットカードの3桁のセキュリティコードについては漏洩していない。

4月19日(日本時間20日)にサーバーの不正な動作を検知してから、具体的な発表が26日(同27日)までに時間があった理由については、ある程度の確度のある情報をユーザーに出すまでに時間がかかってしまったという。

具体的に事件が発覚してから今日までの経緯は次のようになる。

4月19日(日本時間20日):サーバーに以上動作を認める。4月17日から19日にサーバーが不正アクセスされていたことが判明。
4月20日(同21日):徹底機な調査でPlayStation NetworkとQriocityを停止。同日、IT情報セキュリティー会社に調査を依頼し、共同で実態の把握、ミラーサーバーづくりに着手
4月24日(同25日):高度な不正であることが判明したため、さらに新たなセキュリティー会社に調査を依頼
4月26日(同27日):個人情報の可能性が判明。セキュリティー確保の注意喚起をサイトとEメールでアナウンス

現在、FBIに捜査を依頼しているが、誰がどのような目的でこの攻撃を行ったかは未だ把握はできていないという。

不正アクセスを受けて、SNEIはサンディエゴにあったデータセンターをより高度なセキュリティーを確保できるほかの都市のデータセンターに移転をしている。また不正監視の強化、新たなファイヤーウォールの増設などを実施したいと考えているという。

ユーザーに対しては、サービスの一部再開にあたりPlayStation 3(PS3)のシステムソフトウェアをバージョンアップして、PlayStation Networkのアカウントを持つ全ユーザーに対して強制的にパスワードの変更を実施する。

今後のスケジュールとしては、今後、一週間以内にPS3とPlayStation Portableのオンライン対戦、ビデオ配信サービスのダウンロード済みのレンタル映像コンテンツの再生などが可能になるという。また、すべてのサービスの全面再開は5月中を目指すとしている。

今回の問題はいつくかあるだろうが、まず1つは情報の具体的な開示があまりにも遅かったことだろう。これはすでに他の報道が指摘しているのでいまさら指摘する話でもないが、同じユーザーIDとパスワードを他のサービスでも利用しているユーザーがいることを考えれば、注意喚起はもっと早めにできたのかもしれない。

加えて本日明らかになった、すでに既知とされた脆弱性を対処できていなかった問題やパスワードを暗号化していなかったことなど、上げていけばいくつか出てくる。

一方でこれによってソニーがどんなダメージを受けるかが気になるところだ。PS3やPSPについては他のサービスを利用するわけにもいかないだろう。Qriocityについては、発展途上の会員数のためソニー側では明らかにしなかったが、逆に言えばこれによってサービスの注目を集めることになった。今後はどれだけ信頼を回復するためにソニーが取り組むかによって、これらのサービスに注目が集まることになる。

ソニーはこの事件とは関係がないとしながらも、ハッカー集団のAnonymousから数カ月にわたって攻撃を受けていたことを明らかにしている。Anonymousとソニーとの関係についてはこのあたりを参考に。

    • http://www.facebook.com/people/Keita-Uchida/100000305476446 Keita Uchida

      FBIに依頼したそうな。

    • http://www.facebook.com/hisatomi Toru Hisatomi

      > なお、パスワードはハッシュ化はされていたものの暗号化はされていなかった。
      この表現、パスワードの格納方法においてハッシュ化は暗号化より弱い、というニュアンスを感じるのですが……
      格納されているデータから平文を実質的に推測できなくする、ということにおいてハッシュを格納することと暗号化して格納することはほぼ同一、あるいは平文の長さを推測できないという意味においてはハッシュの方が優れていることもあると思うのですが。

    • http://twitter.com/whisky_wyvern whisky_wyvern

      ハッシュ化処理に塩まぶしがあるかどうかでずいぶん話が違うのでは。もちろん、どんな暗号化でも実装がタコな場合は結果もタコですが。参考)MD5破りにGoogleを活用 http://wordpress.rauru-block.org/index.php/1512

    • http://www.facebook.com/people/Eiichiro-kon/100002207612520 Eiichiro kon

      個人的にSONYには踏ん張ってほしい。残念ながら社長が会見に出て来ないのは納得がいかなかったが・・・。

    • http://twitter.com/nishida Ryuichi NISHIDA 西田隆一

      たしかにハッシュ化は暗号化に弱いというニュアンスで書きましたが、僕の認識が間違っていかもしれません。ただ、ハッシュ化されたパスワードが複数あった場合にsaltなしだと辞書などで推測される可能性があるのかもしれません。いずれにせよ、外部のサービスでPSNと同様のID/パスワードだった場合は、パスワードを変更してほしいということなので、ハッシュ化されていてもユーザーには安心ですとはソニー側も言えてはいないのです。

    • http://twitter.com/zukazou ずかぞう

      なんというか、結構定石を踏んだ攻撃を受けたような気がするが、私の知識不足なのか。。。。

    • http://www.facebook.com/hisatomi Toru Hisatomi

      なるほど、ユーザーにとって安全と言いきれることができていない、という事をおっしゃりたかったのですね。よく分かりました。
      saltの使用の是非等具体的な格納方法を詳しくは公表しなかったようなので、その点も公表されることを期待したいですね。

    • http://www.facebook.com/hisatomi Toru Hisatomi

      そうですね。「ハッシュ化してあれば安全」「暗号化してあれば安全」と妄信してしまうことなく、具体的な実装方法の公開を望みます。

    • http://twitter.com/rockbouqet ろくぶて

      同胞が訴えられたからといってアノニマスがソニーに復讐したとかいうが、巻き添えにされた罪のない私たちPSNユーザーはいい迷惑だ(--〆)