Tweet

Pocket

先日のSPEへの不正アクセスに続き、6月8日にマイソニークラブのポイント不正利用が発覚。受難が続くソニーグループへの不正アクセスについて、先日の記事をベースに現状を更新しました。
(2011/06/12追記)　ポルトガルのサイトも不正アクセスと脆弱性公開があった模様です。
(2011/06/21追記)　フランスのSony Picturesサイトに不正アクセスがあり、メール流出があった模様です。
詳細は続きからどうそ。

（つづき）
出来る限り不正アクセスがあった時系列でまとめてみましたが、情報不足のため発表日時で代用している箇所もありますのでご留意下さい。

• 4月上旬 : ハッカー集団「Anonymous」による攻撃（DoS/DDoS）
  ⇒　PSNに接続しづらい状態が続いた
• 4月15-17日 : SOEサーバへの不正アクセス
  この時点でソニーは不正アクセスを認識していなかった
  →　PSNの不正アクセスにて一時サーバー停止するも、問題なしとして再開
  →　5月3日にようやく個人情報流出について発表
  ⇒　結果、約2,460万件の個人情報、約12,700件のクレジットカード情報、約10,700件のデビットカード情報が流出
• 4月17-19日 : PSN/Qriocityサーバへの不正アクセス
  4月17日の段階でサーバに異常を検知
  →　4月20日（米国時間、日本では4月21日）にサーバー停止
  →　4月26日に個人情報流出の恐れがあると発表
  →　5月1日に記者会見
  ⇒　結果、約7,700万件の個人情報、約1,000万件のクレジットカード情報（可能性）が流出
• 5月5日 : ソニー･エレクトロニクス（北米）サイトに不正アクセス
  →　もともと10年前の検証に応募した顧客情報が誰でも見られる状態だった
  ⇒　結果、約2,500件の個人情報が流出
• 5月7日 : ソニーHPにXSS脆弱性が発覚
  ⇒　ソニーのロゴを任天堂のロゴに差し替えられる
• 5月16-17日 : ソニー子会社のソネットに不正アクセス
  →　約10,000件のなりすまし攻撃
  ⇒　結果、約10万円分のユーザーポイントが不正利用された
• 5月20日 : ソニーのタイ法人サイトに不正アクセス
  ⇒　内部にイタリアのクレジットカード会社のフィッシング詐欺サイトを設置され、運営されていた
• 5月21日 : ソニ・ミュージックエンタテインメントーのインドネシア法人サイトに不正アクセス
  ⇒　一部サイトが改ざんされた
• 5月23日 : ソニー・ミュージックエンタテインメントの日本サイトに不正アクセス
  →　SQLインジェクションと見られる手法が試行された
  ⇒　DB構造などの内部情報が流出
• 5月24日 : ソニーBGMのギリシャ法人に不正アクセス
  ⇒　結果、約8,500件の個人情報が流出
• 5月25日 : ソニー･エリクソンのカナダ法人に不正アクセス
  ⇒　結果、約2,000件の個人情報が流出
• 5月27日 : 米ソニー・ピクチャーズエンタテインメントサイトに不正アクセス(06/09追記)
  →　ハッカーグループ「LulzSec」がソニーサイトへの不正アクセスを行うことを宣言
  →　SQLインジェクションという初歩的な手法でハッキング
  →　100万件の個人情報に簡単にアクセス出来たとして、手順や状況もTwitterで実況
  →　その証拠として、一部個人情報を取得、流出させた
  ⇒　結果、約37,500件の個人情報が流出
  ⇒　ソニーは6月1日に不正アクセスがあったことを正式に認めた
• 6月2日 : ベルギーのSony BMGに不正アクセス(06/09追記)
  →　不正アクセスの「LulzSec」が犯行声明
  ⇒　結果、データベース情報（パスワード、テーブル情報等）が公開された
• 6月2日 : オランダのSony BMGに不正アクセス(06/09追記)
  →　不正アクセスの「LulzSec」が犯行声明
  ⇒　結果、データベース情報（パスワード、テーブル情報等）が公開された
• 6月3日 : Sony Europeに不正アクセス(06/09追記)
  ⇒　結果、120件の個人情報（名前、電話番号、メールアドレス）が公開された
• 6月6日 : Sony Computer Entertainment Developer Networkに不正アクセス(06/09追記)
  →　SPE不正アクセスの「LulzSec」が犯行声明
  ⇒　結果、54MBのソースコードとSony Music Entertainmentの社内ネットワークマップが公開された
• 6月6日 : ロシアのSPEに不正アクセス(06/09追記)
  →　SQLインジェクションによる攻撃
  →　LulzSecは「我々の犯行ではない」と発表
  →　LulzSecの米SPEハッキング時の実況を参考にした模倣犯？
  ⇒　現在調査中とのこと
• 6月8日 : マイソニークラブに不正アクセス(06/09追記)
  →　ユーザーからの報告で発覚
  ⇒　結果、95件の不正アクセス、約28万円相当のソニーポイントが不正使用された
  →　ソニーによると、会員情報への不正アクセスは無かったということ
  ⇒　犯人は、何らかの方法でアカウント情報を入手したことになる
  ⇒　ソニーは、不正アクセスされた95人にパスワード変更を依頼し、また不正取得された約28万円相当のクーポンの利用形跡がないため実際には被害はないと主張
• 6月9日 : ポルトガルのソニー・ミュージックに3種類の不正アクセス(06/12追記)
  →　レバノンのハッカーを名乗る人物の犯行
  →　SQLインジェクション、XSS（クロスサイトスクリプティング）、iframeインジェクションなど多角的方法による攻撃
  ⇒　その結果、ソニーサイト上に上記3種類の脆弱性を見つけた上で、証拠としてDB上から取得した電子メールアドレスリストが公開された
• 6月19日 : フランスのソニー・ピクチャーズに不正アクセス(06/12追記)
  →　5月にソニー・エリクソンサイトをハッキングしたAuth3ntiq氏がハッキングしたことを公表
  →　6月20日にThe Hacker Newsにて情報が掲載される
  ⇒　その結果、177,172通の電子メールが流出し、うち70通を公開された

不正アクセスの発生頻度とソニーの対応を見る限り、今後再び不正アクセスが発生する可能性は高そうです。子会社を含め横の連携を取り、一刻も早く安心できるネットワークシステムの再構築を期待したいところです。