PlayStation Network個人情報流出事件

提供: miniwiki
移動先:案内検索

PlayStation Network個人情報流出事件(プレイステーションネットワークこじんじょうほうりゅうしゅつじけん)とは、2011年(平成23年)4月に発生したソニーが運営するPlayStation Network(以下、PSN)における大規模な情報流出事件である。

事件の経過

2011年4月21日、PSNに大規模なアクセスエラーが生じ、サインインできない状態となった。4月23日に外部要因とみられる影響と発表されたが[1]、実際は4月17日から4月19日にかけて受けたシステムへの不正侵入により、PSN利用者の個人情報が流出した可能性が出たためにサービスを停止したことが原因であった[2]

不正侵入を受けたことについては4月27日に公表された[3]が、1週間を空けての情報公開に、欧米からは訴訟および政治家からの質問状が飛び交わされ続けている[4][5]。ソニー側の発表によれば、流出したとみられる個人情報のうち、名前や住所、生年月日などの情報は暗号化していなかったが、クレジットカード番号は暗号化していたとしている[6]。サービス停止に伴いゲーム配信が相次いで延期された[7]ほか、ユーザー離れを指摘するアナリストも現れた[8]

なお、PSNと共通のネットワークを利用しているQriocityも同様にサービス停止に追い込まれたほか、Qriocityの利用者情報も流出したことが明らかにされている[3]

ソニーは5月1日に緊急記者会見を行い、サーバーの脆弱性に対処していなかったことが不正侵入の原因であると発表し[9]、一部コンテンツの無料配信などを「お詫び」として提供するが、現段階で金銭的な被害が認められないとしてユーザーへの一律補償については否定的な考えを示した[10]。クレジットカード情報の流出に関しては、「(クレジットカードの情報の)項目を読みに行った形跡がない」こと、そして、FBIに捜査を依頼したことを明らかにした[11]

5月4日、米下院エネルギー・商業委員会小委員会が行なった公聴会に(招致されていた)ソニー幹部が欠席し、非難を浴びた[12]。公表された回答書によると、すべての利用者7,700万人の個人情報が不正利用者から盗まれたことが明らかになった(同月3日時点ではクレジットカード情報の不正利用はないと報告している)[13]。また、侵入を受けたサーバーからは「Anonymous(アノニマス)」というファイルが発見され、「We Are Legion(我々は軍団だ)」という文字列で構成されていた[14]。このことや数週間前のサーバー攻撃から、ソニーは米国ハッカー集団「アノニマス」関与の可能性を示唆したが、アノニマス側はブログ上で否定した[15]。しかしNHKの取材で、ソニーグループのコンピュータに侵入したことが明らかになった[16]

5月6日、ハワード・ストリンガー会長は同問題に対する謝罪文をブログ上に掲載したほか、北米のユーザーに対しては1人あたり最大100万ドルの補償制度を導入したと発表[17]

5月7日、5月1日時点で1週間程度としていた一部のコンテンツサービスの再開を当面延期することを決定した[18]

5月12日、ソニーは再開に向けて「安全性の高いサーバーへ情報を移設完了した」と発表。引き続き、暗号化の強化や新たなファイアウォールの設置作業などを行っている事も明らかにした。また、サイバー攻撃の早期発見を促す警告システムの導入なども行うという[19]

5月15日、PS3のアップデートを行ない[20]、米国および欧州地域においてPSNおよびQriocityのサービスを段階的に再開すると発表した[21]

5月16日、ストリンガーがメディアに対しての取材に応じ「対応は迅速であった」と答えているが、英語版CNETにてこの記事を見たユーザーの評価は合計して83%がたちの悪いジョークだという評価を下している。

5月17日、米下院エネルギー・商業委員会小委員会は再度ソニーに質問状を送付した[22]

欧米での一部サービス再開にあたり、PS3のアップデートとパスワードの変更を必須とするしていたが、Webサイト上でのパスワードの再申請手続きにおいて、漏えいしたメールアドレスと生年月日を入力すると本人でなくても再申請が可能となる欠陥が発覚、5月18日にWebサイトでの再申請サービスを中止した(PS3からの再申請は可能)[23]

日本およびアジア地域の再開は近日中に行われるとアナウンスされているが、日本では経済産業省から「5月1日に対策として挙げられていた事項が遂行されていない」と再開の許可が下りていない[24]。理由の内訳としては、ソニーがカード不正使用への監視対策を講じていない[25]ことや、日本には欧米のような補償サービスが存在しない[25]ことなどが挙げられる。

6月4日、ソニー・ヨーロッパは、外部に流出したのは一部の公開情報だけで、サイト利用者の個人情報は盗まれていないとしている。AP通信によると、不正侵入したのはレバノン出身のハッカーで、外部に流出したのは放送用などの業務用機器を購入した顧客に機器の使い方を教える契約社員の氏名や顔写真、メールアドレスだけだという[26]。ただし、これらの情報はすべてウェブサイトに公開していた。

6月6日、5月下旬からSPE等へクラッキングを行っていた集団「LulzSec」がPSNにクラッキングを試みた際に入手したPSN開発者用ネットワークのソースコードをtorrentにて公開した。

6月10日、スペイン国家警察がアノニマスの3人を逮捕したと発表。しかし、DDoS攻撃の証拠はあったもののPSNサーバのクラッキングに関わる証拠が見つからなかったため翌11日に釈放された。

6月15日、共同通信の情報公開請求に対し経済産業省が公開した資料[27]により、相当量のデータが漏洩したことをことが明らかとなった[28]。なお、5月1日の会見では「一部の情報が漏えいしていた可能性がある」と説明していた。これに対しSCEの広報は「ユーザIDとパスワードは個人情報ではない」と釈明している[29]

6月20日、新しく提訴された訴状より、個人情報漏洩事件から2週間ほど前にソニーがセキュリティ担当部門の従業員を多数解雇していたことが明らかとなった[30]

9月15日、アメリカにおいて規約改正を行い、「PSNを使用し続ける場合、クラスアクションに参加しての申し立てはできない。ソニーに対して成立する可能性がある法制にサインすることもできない。」といった旨の規約が発表された[31]

サービス再開

5月27日にSCEは翌28日より日本およびアジア諸国のサービスを一部再開することと、ユーザへのお詫びとして無料提供されるゲームのタイトルを発表した[32]

5月28日より一部のサービスが再開。また、SCEはサービス再開の際にパスワードを変更するよう呼びかけている(旧来のパスワードは使用不可能だが、パスワード変更後にもう一度パスワードの変更をすることで旧来のパスワードを使用することはできる)。なお、6月2日に米国議会からの任意出頭にようやく応え、公聴会は開催された。

6月2日に欧米およびアジアの一部で、14日に香港で、24日に韓国でサービスが全面再開された。最後に残された日本も7月6日にサービスが全面再開され、PCからのPSNへのサインインも可能になっている[33]

注釈

  1. “SCEJ、PlayStation Networkに障害発生中 「復旧までに一両日かかる可能性」”. GAME Watch. (2011年4月22日). http://game.watch.impress.co.jp/docs/news/20110422_441642.html . 2011閲覧. 
  2. “ソニーPSネットに不正侵入、7700万人の情報流出の可能性”. ロイター. (2011年4月27日). http://jp.reuters.com/article/technologyNews/idJPJAPAN-20830920110427 . 2011閲覧. 
  3. 3.0 3.1 PlayStation®Network/Qriocity™をご利用の皆様へのお詫びとお願い” (2011年4月27日). . 2011閲覧.
  4. “プレステ個人情報流出、米ユーザーらがソニー集団提訴”. AFP. (2011年4月29日). http://www.afpbb.com/article/environment-science-it/it/2797507/7139085 . 2011閲覧. 
  5. “ソニーの個人情報流出問題、米下院が質問状”. 読売新聞. (2011年4月30日). http://www.yomiuri.co.jp/atmoney/news/20110430-OYT1T00202.htm . 2011閲覧. 
  6. “【PS3情報流出】カード番号は暗号化 ソニー、個人情報流出で”. 産経新聞. (2011年4月29日). http://sankei.jp.msn.com/affairs/news/110429/crm11042908200001-n1.htm . 2011閲覧. 
  7. “ソニー向けゲーム、配信延期相次ぐ 個人情報流出”. 日本経済新聞. (2011年4月29日). http://www.nikkei.com/news/headline/article/g=96958A9C889DE0E5E4E5E0E4E0E2E0EBE2E6E0E2E3E3869891E2E2E2 . 2011閲覧. 
  8. “ソニー<6758.T>のネット不正侵入で欧米顧客が動揺、プレステ離れの兆しも”. ロイター. (2011年4月28日). http://jp.reuters.com/article/marketsNews/idJPnTK889860120110428 . 2011閲覧. 
  9. “ソニー7700万件情報流出、原因は「脆弱性への未対処」”. 読売新聞. (2011年5月2日). http://www.yomiuri.co.jp/net/security/goshinjyutsu/20110502-OYT8T00649.htm . 2011閲覧. 
  10. “ソニーがネットサービスを週内に一部再開、情報流出に副社長が陳謝”. ロイター. (2011年5月2日). http://jp.reuters.com/article/technologyNews/idJPJAPAN-20899720110501 . 2011閲覧. 
  11. 【PS3情報流出】ソニー信頼失墜、遅すぎた会見 トヨタの二の舞も” (2011年5月2日). . 2011閲覧.
  12. “米国:ソニー問題で幹部招致も検討…下院公聴会”. 毎日新聞. (2011年5月5日). http://mainichi.jp/select/today/news/20110505k0000m020140000c.html . 2011閲覧. 
  13. “【PS3情報流出】ソニー、利用者全員の流出を確認 プレステネット7700万人”. 産経新聞. (2011年5月5日). http://sankei.jp.msn.com/economy/news/110505/biz11050508310000-n1.htm . 2011閲覧. 
  14. “ソニー攻撃、ハッカー集団「アノニマス」か”. 読売新聞. (2011年5月6日). http://www.yomiuri.co.jp/atmoney/news/20110506-OYT1T00143.htm . 2011閲覧. 
  15. “「アノニマス」が個人情報流出への関与否定、「ソニーは無能」”. ロイター. (2011年5月6日). http://jp.reuters.com/article/technologyNews/idJPJAPAN-20957720110506 . 2011閲覧. 
  16. http://www.nhk.or.jp/gendai/kiroku/detail02_3122_1.html
  17. “ソニーのストリンガー会長:情報漏れ謝罪、1人最大100万ドル補償(1)”. bloomberg.co.jp. (2011年5月7日). http://www.bloomberg.co.jp/apps/news?pid=90920017&sid=aORosEijtVkg . 2011閲覧. 
  18. “ソニー、PSN再開を延期…映画・音楽配信も”. 読売新聞. (2011年5月7日). http://www.yomiuri.co.jp/atmoney/news/20110507-OYT1T00598.htm . 2011閲覧. 
  19. “ソニー、PSNなどのサーバー移設を完了-サービス再開のめどはまだ”. IBTimes. (2011年5月13日). http://jp.ibtimes.com/articles/18520/20110512/854280.htm . 2011閲覧. 
  20. 2011年5月15日 “PlayStation 3”システムソフトウェアver.3.61 アップデートに関するご案内”. プレイステーション® オフィシャルサイト (2011年5月15日). . 2011閲覧.
  21. PlayStation®NetworkおよびQriocity™(キュリオシティ)サービス再開について (PDF)”. ソニー、ソニー・コンピュータエンタテインメント (2011年5月15日). . 2011閲覧.
  22. “米下院小委がソニーに追加質問状…個人情報流出”. 読売新聞. (2011年5月18日). http://www.yomiuri.co.jp/atmoney/news/20110518-OYT1T00453.htm . 2011閲覧. 
  23. “ソニー不正アクセス:PSNパスワード変更で不具合 PC利用を一時停止”. まんたんウェブ. (2011年5月19日). http://mantan-web.jp/2011/05/19/20110519dog00m200018000c.html . 2011閲覧. 
  24. “「PlayStation Network」、国内で再開されていない理由とは”. Cnet Japan. (2011年5月17日). http://japan.cnet.com/news/service/35002786/ . 2011閲覧. 
  25. 25.0 25.1 “ソニー、カード対策急務 国内オンラインサービス再開の条件”. 朝日新聞: p. 8. (2011年5月21日) 
  26. “ソニー欧州で不正侵入 利用者の個人情報流出なし”. 47NEWS. (2011年6月5日). http://www.47news.jp/CN/201106/CN2011060501000009.html . 2011閲覧. 
  27. “「ソニーが漏洩を事前に知りつつ“可能性”と矮小化した件」の証拠文書”. マサミネのレビュー勝手口(フリーライター瀬川雅峰). (2011年6月20日). http://masamine-s.cocolog-nifty.com/blog/2011/06/post-ec71.html . 2011閲覧. 
  28. “ソニー「相当量のデータ」流出 発表前日に事態把握 ”. 47NEWS. (2011年6月15日). http://www.47news.jp/CN/201106/CN2011061501000302.html . 2011閲覧. 
  29. “ソニーが…情報流出“被害矮小化”?イメージダウン必至”. zakzak. (2011年6月15日). http://www.zakzak.co.jp/society/domestic/news/20110615/dms1106151540017-n1.htm . 2011閲覧.  PSN公式ではIDとパスワードも個人情報に含まれると書かれている
  30. “ソニー<6758.T>、個人情報大量流出前にセキュリティー担当者を多数解雇=集団訴訟原告”. ロイター. (2011年6月24日). http://jp.reuters.com/article/marketsNews/idJPnTK893771520110624 . 2011閲覧. 
  31. “Sony Outrage: No PSN Unless You Waive Lawsuit”. gamestooge. (2011年9月15日). http://www.gamestooge.com/2011/09/14/sony-no-psn-unless-you-waive-lawsuit/ . 2011閲覧. 
  32. “PlayStation®Network・Qriocity™(キュリオシティ)の一部サービス 日本およびアジアの国・地域でも再開”. Playstation.com. (2011年5月27日). http://www.jp.playstation.com/info/release/nr_20110527_psn_qriocity.html . 2011閲覧. 
  33. 日本におけるPlayStation®Network・Qriocity™(キュリオシティ)のサービス全面再開のお知らせ”. ソニー、ソニー・コンピュータエンタテインメント (2011年7月4日). . 2011閲覧.

関連項目

外部リンク

参考文献

  • 伊東寛 『サイバー・インテリジェンス』 祥伝社、2015年。ISBN 978-4396114343。
  • 御池鮎樹「ソニー、史上最悪の個人情報漏洩事件」『「サイバー危機(クライシス)」の記録』工学社、2016年。ISBN 978-4777519668。

da:PlayStation Network#PlayStation Networks nedbrud 2011