ソニーグループの受難はいつまで続くのでしょうか・・・。ソニーグループの映画子会社、ソニー・ピクチャーズエンタテインメントが、6月1日に新たに不正アクセスを受けたことを公式に認めました。
不正アクセス方法を含めた詳細は、続きからどうぞ。
(つづき)
5月27日にハッカーグループ「LulzSec」が不正アクセスを行うことをTwitter上で発表。以後、自らが行った全ての手法をTwitter上で公開し、100万件以上の個人情報に到達することが出来たとしていました。
方法は非常に初歩的かつ単純な「SQLインジェクション」と呼ばれる手法。簡単に説明すると、データベース(DB)にアクセスする際に利用する「SQL」に想定外の条件式などを追加することで、DBに存在する全ての情報を表示するというものです。
仮に「users」というテーブルに「name」「password」「address」「mail」というカラムがあったとすると、通常「select * from users where name=’ganzo777′;」とすれば、ganzo777のパスワードや住所、メールアドレスが表示されます。これに「select * from users where name=’ganzo777′ or ‘abc’=’abc’;」という必ず真となる条件をプラスして実行すると、nameの値に関わらず全ての条件が真になるため、全レコードが表示されてしまいます。
これは非常に初歩的なもので、対策も簡単。対策されたDB上では上記SQLは動作しないためネットサービス設計者にとって必須の対応とも言えますが、残念ながらソニーではこうした対策は行っていなかった様です。
不正アクセスを行ったLulzSec自身も、「自分たちが大物ハッカーのふりをするつもりはない」として、今回の不正アクセスは本当に簡単な1つのインジェクションで全てのデータが表示されてしまったことに驚きを隠していません。しかも、上記の例で言うところのパスワードカラムは暗号化などの処理がされておらず「平文」だったことも公開しています。
Wikipediaによれば、2007年の調査では41%のWebサイトが不正アクセス可能で、そのうち22%(全体の約9%)にSQLインジェクションに対する脆弱性があったとしています。しかし、2008年7月に奇しくもSCEAのPlayStationサイトがSQLインジェクションで不正改竄をされており、グループ全体として対策すべきチャンスを見逃していた事実は、決して小さいことではないと思われます。
せめて、ソニーグループの他のWebサイトは同様の不正アクセスに対する対策を至急行い、今後に備えるべきでしょう。こうした問題に対策がされない限り、仮に日本国内のPSN全サービス回復が実現したとしても、再びサービス停止になる可能性も否定出来ないと思います。是非ともソニーには縦割りでなくグループ全体での情報共有と対策を実施して欲しいところです。
