国際ハッカー集団の関与示唆=カード情報、1千万件流出も―ソニー
ソニー、米下院に回答。個人情報7700万件すべての漏洩を認める
米下院エネルギー・商業委員会小委員会からの4月29日付けの質問状に対し、回答期限となる5月3日、ソニーが平井一夫副社長名義で回答書を提出しました。
詳細は続きからどうぞ!
(つづき)
この回答書は全8ページに渡るもので、13の質問中登録ユーザーとして最も気になる3点については次のように回答しています。
約7700万の PSN / Qriocity アカウントすべてから個人情報が盗まれた。
8. 盗まれたのはどのような情報か。またその根拠は。
データベースに照会があったのは:名前、住所 (市区町村、州、郵便番号)、国、電子メールアドレス、誕生日、PSNパスワードとログイン、PSNオンラインID (ハンドル名)。
現時点では、クレジットカード会社から今回の事件によると見られるクレジットカード不正利用件数の増加は報告されていない。
9. クレジットカード情報を登録していたユーザーの数は。
世界で約1230万アカウント。米国では560万アカウント。期限内のものも期限切れも含む。
10. カード情報が盗まれた証拠はないとしつつ否定できないとする理由は。
分析からは、クレジットカード情報がPSNから送信されなかったと断定できる情報がない。それ以外の個人情報については、データベースへのクエリと、対応する大量のデータ送信があったことが判明している。クレジットカード情報については、そのようなクエリもデータ転送も把握していない。
このことから、報道での「7,700万件のアカウント情報流出の恐れ」ということから、「7,700万件のアカウント情報が全て盗まれた」という確定情報になっています。また、クレジットカードは上記の回答内容が本当であれば、確かに可能性は否定出来ませんが、クエリやデータ転送について証拠隠滅や偽装が行われていない限り、流出はしていない可能性が高そうですね。(そこを隠滅するなら、個人情報データ流出についても隠滅しているはずなので)
また、SOE(Sony Online Entertainment)のサーバーから「We are Legion.」と書かれた「anonymous」という名前のファイルが見つかったことから、国際的ハッカー集団「Anonymous」が何らかの関係をしていることも否定出来ないとしています。なお、当のハッカー集団「Anonymous」はこの事件への関与を否定しています。
ソニーは今回の個人情報流出を「サイバー犯罪」と位置付け、「極めて綿密に計画され、専門的かつ高度な手口によるサイバー攻撃」により引き起こされたこの事件において「ソニーは被害者である」と強調しています。確かにソニーは今回の「犯罪」においては被害者であることは間違いないでしょう。
しかし、個人情報を預かるオンラインサービス提供者がこうした犯罪に備え徹底したセキュリティ対策を行うことは当然の責務です。今回の事件はソニーの技術者が既知のセキュリティホールの存在を見逃して対策をしてこなかったことが原因であることは、5月1日の平井副社長の会見で明らかになっています。
本当の意味での被害者はユーザー自身なのですから、今後ソニーは大規模オンラインサービス提供者としての重大な責任をしっかり認識し、対策と信頼回復に努めていくほかありません。世界のソニーとして、頑張って欲しいものです。
最後に、いつものアンケートです。よろしければご協力お願い致します!