ソニーは2011年5月1日、ネットサービス利用者のアカウント情報などが漏えいした問題について記者会見し、 システムのファイアーウォールが破られていたことを明らかにした。 同社では、認識が甘かったことを認めており、今後、情報管理のあり方が厳しく問われそうだ。

　ソニーがプレイステーション向けオンラインサービス「PlayStation Network」と「Qriocity」に対して、 不正アクセスがあったと発表したのは2011年4月27日。 それから4日経って行われた記者会見には、平井一夫ソニー・コンピュータエンタテインメント社長、 長谷島眞時・業務執行役員、神戸司郎・業務執行役員が出席した。


■クレカ暗号化で「不正使用ない」

　これまでの経過については、米国で4月19日（日本時間20日）、サーバーに異常な動きを確認したとして、調査を開始。 翌20日（同21日）には、17日から19日にかけて不正アクセスがあったことがわかった。 そして、ITセキュリティ専門会社に依頼するなどして実態の把握に着手し、27日には「サイバーテロ行為が行われた」（平井社長）と判断。個人情報が漏えいした可能性があるとして、web上で報告した。


（>>2-10につづく）

▼J-CASTニュース　[2011/5/ 1 19:56]
http://www.j-cast.com/2011/05/01094635.html
http://www.j-cast.com/2011/05/01094635.html?p=2

▽写真＝記者会見に出席した神戸司郎氏、平井一夫社長、長谷島眞時氏
（左から、5月1日都内で）

（>>1のつづき）

　不正アクセスについては、システムが、ウェブサーバ、アプリケーションサーバ、データベースサーバの3層の構造になっており、ファイアーウォールと呼ばれる外部からの侵入を防ぐシステムがあったにもかかわらず、 アプリケーションサーバの脆弱性をついて不正に侵入。長谷島氏は「かなり巧妙な、高度な技術をもった侵入だったことが徐々にわかってきた」と述べ、米連邦捜査局（FBI）にも、捜査の依頼をしたことを明かした。

　また、27日の発表では、漏えいしたとみられるアカウント情報に住所・氏名、パスワード／オンラインIDのほか、不正アクセス者がクレジットカード情報（セキュリティコードを除くクレジットカード番号、有効期限に関する情報）を入手した可能性を「完全に否定することはできない」としていた。

　平井社長はこれに対して、クレジットカード登録者は約1000万人いるとしたうえで、「漏えいした証拠はない（ので可能性があるとしか言えない）が、今のところ不正使用があったという報告は受けていない」。長谷島氏もクレジットカード情報については「クレジットカード情報は暗号化されているうえ、データベースを読みにいった形跡がない」と説明した。

（>>3-10につづく）

（>>2のつづき）

■対応の遅れに海外から批判

　もっとも、ソニーの情報漏えいについては、判明から発表まで約1週間かかり、対応の遅れに対してとりわけ海外からの批判が出ていた。

　ロイター通信は「日本企業によくみられる経営階層や会議の長さを考えれば、1週間はそんなに遅くはない。しかし、個人情報が流れた人にとっては、当然のことながら1週間は遅すぎる」とする米テンプル大学教授のコメントを載せた。また、米下院エネルギー・商業委員会は4月29日、ソニーに対して、流出の経緯についての説明を求める質問状を送付している。

　発表まで時間を要したことについて、平井社長は「被害が拡大しないようにまずはサービスを停止させた。その後、調査会社とともに解析する作業に入ったが、（データが）膨大な量で、想定していた以上の時間がかかった。 また顧客に対して、ある程度、確度ができた時点で伝えたかった」と説明。ただ、26日にソニーは新製品の記者発表会を都内で行っているが、同氏は「26日の段階では（不正アクセスの）認識はあったが、分析、解析の作業中だった。その段階では、確度のある情報を伝える状態になかった」と語った。

　また、情報セキュリティの問題で、業務執行役員の神戸氏は「全世界のセキュリティーチームでさまざまな対策を講じ、管理体制を行ってきたつもりだったが、もしかしたら向上の余地があったかもしれない。そういう意味で甘かったのではと言われれば、認めざるを得ない」と陳謝。同じ業務執行役員の長谷島氏は今後について、不正アクセスへの対応の仕方を抜本的に見直し、再発を防止すると弁明に追われた。

（おわり）

ネトゲ界のメルトダウン

あまーーーーい！！

これじゃ、アイヤーウォールだなw

あいやｗｗｗｗｗｗｗ

きっと給料削られた社員の内部犯行だよ。
東電の豚骨ベースは口だけだがな。

PS2時代はまさに天下をとった状態だった
栄枯盛衰、奢れる者は久しからず、諸行無常の響きあり

暗号は解かれるものだし
セキュリティは破られるもの
イタチごっこ世界だよ

そういうのを趣味にしてる輩がいるんだから絶対安全なんてない
クレカなんて登録するもんじゃないよ

ソニーはたまたま標的にされて運が悪かっただけで
他の企業でも同じように流出させられるよ

これ穴を指摘されてたんだろ？

なんで企業はそれを知って対策をしようとしないのか理解できんわ。

なんか、構造が日本の原発の推進の論理と似てるな・・・・
絶対安全だから、もしものことを考えることすら許さないっ＞＜

対応見てると東電とあまり変わらんな。

この会社、顧客軽視の姿勢は昔から変わっていない
いや、むしろ社風だろ

そもそも個人情報って、必要だったのか？

かなり高度で巧妙な既知の脆弱性を付いた攻撃だった

ファイアーウォールが機能した時点で負け。
通常はフィルターとゲートウェイでアクセスコントロールだろ？

プロの工作員だな

SONYのシステムが破られたか
まあクレカは無事みたいだけど
勝手にID使われてゲーム買ったりされそうだな。

ファイアーウォールなんてただの飾りです。

住所、氏名だけを管理する会社と
クレカ情報だけを管理する会社と
それを利用するだけのソニーのような会社の
3つにわけて、
それぞれの社員ですら、すべてを一元的に得られない形にすればいいのに

なんでログサーバを別立てにしておかないの

お金けちりすぎ

SONY様は悪くないだろ。悪いのはシステム破りした人間。
そこんところをきちんと理解しろよ

データを平文で保存してたとかお粗末過ぎる

甘いんじゃなくてフェイルセーフを考えなかっただけでしょ
日本の経営者はそういう設計思想を認めないお馬鹿さんだから

どこに個人情報を保存していたんだろうな

WEB、AP、DBサーバは分離していたみたいだけど、
DMZ内のサーバ上に個人情報を保管していたとかはないよね？
ありがちなのが、DBはDMZにないけどDBから抽出した情報を
一定期間DMZ上に平文で保存しておいたとか

それともまさかまさかのSQLインジェクション？？
だとしたらお粗末過ぎる。。。

でも、
こういうのって狙われたら防ぎようがないでしょ？

ソニーにも当然管理責任はあるけど
どうしたってハックした連中が大悪人なわけで・・・

こういうのはさ、抑止力で防ぐしかないよ、
大企業ハッキングは死刑とかにすりゃいい。

誰も困らないでしょ。

Unix板の連中に構築して貰った方が、かなり堅牢なシステムが出来そう

普通は企業がガッチリ作った奴の方が堅牢になるもんだろうけど･･･
とんでもないザルだったからそう見えるのかな

こういうのって自分の足が付かないように、
先にボットをばらまいといて、それ経由でハッキングするとか。
いかに、自分の足が付かないようにするかってところがすごいんだよな。

俺のルーターは全ポート開きっぱなしだぜ！！
仕様でそうしないとネトゲできないからな・・・

賠償とかいうけどしようがないぜ
確実にソニーが原因だと証明する方法がない
犯人なら話しはわかる

ファイヤーウォール (笑)

今時　FW突破されて、「しかたない」はないだろw

PSNのポイントを一万円分くれれば許す。
むしろ喜ぶ

一口にFWと言っても千差万別だからなぁ。

どんな設定になってたのか興味はあるな。

111 名前：名無しさん＠十一周年：2011/05/02(月) 02:03:53.24 ID:j1eHH0WZO

>>110
IP制限とポート制限だけかも

ファイヤーウォールなんか関係なくて、自分で漏洩させただけなのに
いかにもすごい手口でやられたかのような言い訳がすごい

たかがFW突破されただけだろ
まだMF、DFが居るじゃないか
そして最後の砦はGKだ！

118 名前：名無しさん＠十一周年：2011/05/02(月) 02:19:21.44 ID:Jovhg0JM0

>>117
ソニーのGKは役に立たんw

逆にＦＷを突破する技術があるなら教えて欲しいわｗｗｗ

123 名前：名無しさん＠十一周年：2011/05/02(月) 02:33:10.67 ID:rCpaUHFI0

>>122
外部からWebブラウザでWebサーバ見てる時点でFW突破してるしなｗ
突破って表現は何か違うよな

ソニーはFWにCheck Pointつかってんだろ？
何千万も出して。