PSNを皮切りに、このところソニーグループのサイトへの不正アクセスが活発に行われています。5月25日には携帯大手ソニー・エリクソンのカナダ法人サイトから個人情報が約2,000人分流出しました。
これまでのソニーへの不正アクセスまとめは続きからどうそ。
(つづき)
出来る限り不正アクセスがあった時系列でまとめてみましたが、情報不足のため発表日時で代用している箇所もありますのでご留意下さい。
- 4月上旬 : ハッカー集団「Anonymous」による攻撃(DoS/DDoS)
⇒ PSNに接続しづらい状態が続いた - 4月15-17日 : SOEサーバへの不正アクセス
この時点でソニーは不正アクセスを認識していなかった
→ PSNの不正アクセスにて一時サーバー停止するも、問題なしとして再開
→ 5月3日にようやく個人情報流出について発表
⇒ 結果、約2,460万件の個人情報、約12,700件のクレジットカード情報、約10,700件のデビットカード情報が流出 - 4月17-19日 : PSN/Qriocityサーバへの不正アクセス
4月17日の段階でサーバに異常を検知
→ 4月20日(米国時間、日本では4月21日)にサーバー停止
→ 4月26日に個人情報流出の恐れがあると発表
→ 5月1日に記者会見
⇒ 結果、約7,700万件の個人情報、約1,000万件のクレジットカード情報(可能性)が流出 - 5月5日 : ソニー・エレクトロニクス(北米)サイトに不正アクセス
→ もともと10年前の検証に応募した顧客情報が誰でも見られる状態だった
⇒ 結果、約2,500件の個人情報が流出 - 5月7日 : ソニーHPにXSS脆弱性が発覚
⇒ ソニーのロゴを任天堂のロゴに差し替えられる - 5月16-17日 : ソニー子会社のソネットに不正アクセス
→ 約10,000件のなりすまし攻撃
⇒ 結果、約10万円分のユーザーポイントが不正利用された - 5月20日 : ソニーのタイ法人サイトに不正アクセス
⇒ 内部にイタリアのクレジットカード会社のフィッシング詐欺サイトを設置され、運営されていた - 5月21日 : ソニ・ミュージックエンタテインメントーのインドネシア法人サイトに不正アクセス
⇒ 一部サイトが改ざんされた - 5月23日 : ソニー・ミュージックエンタテインメントの日本サイトに不正アクセス
→ SQLインジェクションと見られる手法が試行された
⇒ DB構造などの内部情報が流出 - 5月24日 : ソニーBGMのギリシャ法人に不正アクセス
⇒ 結果、約8,500件の個人情報が流出 - 5月25日 : ソニー・エリクソンのカナダ法人に不正アクセス
⇒ 結果、約2,000件の個人情報が流出
振り返ってみると、4月上旬のAnonymousによるDoS/DDoS攻撃によるアクセス障害を含めれば、4~5月の間に実に11回に渡る不正アクセスがあったことになります。
ソニーはこれらPSN対策に140億円(調査・実地対策費用)を計上しているそうです。しかし、実際どれほどの実害が出ているかは不明であり、また集団訴訟も何件も起こされていることから、ソニーにとって大きな痛手になる可能性は、残念ながら未だ否定出来ません。
(2011/05/26 19:10追記)
また、2ちゃんねるや一部サイトで日本国内でも5月26日にサービス復旧するというウワサがありましたが、19時現在、復旧の兆しは見えません。本日18時半から開かれているソニーグループ2010年度第四四半期業績説明会においても、国内での復旧について特に言及はなく、残念ながら不透明な状況はもうしばらく続きそうです。
(2011/05/26 20:36追記)
日経が伝えるところによると、ソニーの神戸業務執行役員は「5月中に全面再開する目標は変えず、日本やアジアなど他の地域でも近日中に再開する予定だが、地域によっては監督官庁との調整などで6月上旬にずれ込む可能性もある」と発言したそうです。
再開は近日中から遅くとも6月上旬、ということでしょうか・・・。日本における監督官庁である経済産業省からの再三に渡る質問と要請に、ソニーには真摯に応えて欲しいものです。