SCE、PSN/Qriocity個人情報流出問題で平井CEOが会見

-1週間以内に一部再開へ、完全復旧は5月内


平井一夫CEO

 ソニー・コンピューターエンタテインメント(SCE)とSony Network Entertainment(SNEI)は1日、ネットワークサービスPlayStation Network(PSN)とQriocityにおける不正アクセスと、それに伴う個人情報流出について、SCEの平井一夫CEOらが東京のソニー本社で会見した。

 米国カリフォルニア州サンディエゴ市内のデータセンターにあるシステムへの攻撃により、4月21日よりPSNとQriocityに障害が発生。17日から19日にかけてユーザーのアカウント情報が不正アクセスにより、漏洩していた可能性があるとしていた。

 漏洩したとみられる個人情報は、氏名、性別、住所、国名、メールアドレス、生年月日、PlayStation Network/Qriocityパスワード、PlayStationNetworkオンラインID。

 漏洩の証拠はないが、可能性があるとして注意喚起しているのは、購入履歴や請求書住所を含むプロフィールデータ、PSN/Qriocityログインパスワード照合時の質問内容、クレジットカード番号(セキュリティコードは含まず)および有効期限。なお、PSNの4月現在の登録者数は約7,700万件で、クレジットカードの登録件数は約1,000万件という。

不正アクセスについての事実関係

 この事件を受けて、SCEIは、新しい安全管理措置を実施し、SNEI社内のChief Information Security Officer(CISO)職を設置する。

 さらに、以下の対策を追加で実施する。

  • 新たな攻撃に対する自動的なソフトウェア監視機能と環境設定項目の管理機能強化
  • データ保護と暗号化のレベル強化
  • PSN/Qrioctyネットワークへの不正なソフトウェア侵入、不正アクセス、不審行為の検知能力向上
  • 新たなファイアウォールの増設
平井氏らが謝罪

 また、以前より計画していたシステムの他データセンターへの移管を前倒しして実施。さらにサービスの再開にあたり、PS3のシステムソフトウェアをバージョンアップする。これに伴い、すべてのPSNユーザーにパスワード変更を依頼することとなるが、パスワードの変更はアカウントで機器認証しているPS3、または登録しているメールアドレス経由でのみ変更が可能という。パスワード変更に関する詳細はWebサイトで告知する。

 今後、不正アクセスについては、捜査当局に全面的に協力し、不正アクセス者の特定、訴追を行なう予定で、FBIによる捜査も開始されているという。

 

ユーザーの対応について新規の安全管理措置を導入

 また、PSN/Qriocityの安全性向上にあわせて、SCE/SNEIは、近日中に地域ごとにサービスを段階的に復旧する。一週間以内をめどに一部サービスを再開予定で、具体的な内容は以下の通り。


  • PS3およびPSPでのオンライン対戦、PlayStationNetworkへのログイン認証が必要なタイトルおよびダウンロードされたタイトルのゲームプレイ
  • PSNのビデオ配信サービスでダウンロード済みのレンタル映像コンテンツのPS3、PSP、Media Goでの再生(有効期限内に限る)
  • 音楽配信サービス「Music Unlimited powered by QriocityのPS3およびPSPでの再生(現行の会員限定)
  • PlayStationPlusの各機能
  • PlayStation Home
  • アカウント管理、パスワードリセット
  • トロフィーなどのフレンド機能
  • チャット機能

 

サービス開始予定について

 これらの再開とともに、5月中の完全復旧を目指す。また、今回のお詫びを兼ねて、全世界のPSNおよびQriocityのユーザーに向けた、特定コンテンツの無料ダウンロードや定額制サービスパッケージ「PlayStation Plus」の30日間無料加入などを行なう予定。

 こうした施策の詳細は地域ごとに決定する予定。また、情報漏洩による被害についての補償については、クレジットカードの不正利用などが生じた場合など、今後の状況の変化に応じて個別に対応する予定とした。


■原因はアプリケーションサーバーの脆弱性。NGPやタブレットのスケジュールに変更無し

不正侵入の概要

 平井一夫CEOは、「世界中のユーザーに愛され、お楽しみいただいているサービスで、個人情報が流出した可能性があるという事態になり、多大なる心配をおかけした。サービスを長期停止したことを含め、改めてお詫びする」と謝罪。

 ソニーでCIOを務める長谷島眞時氏は、「攻撃は、アプリケーションサーバー上の脆弱性を狙ったもの。ここから、アプリケーションにデータを送り不正な手口を使って、外部との通信を可能にし、データベースに攻撃ができるアクセス権限を入手し、データベースに不正にアクセスされた」という。このアプリケーションサーバーの脆弱性は「既知の脆弱性で、SNEIのマネジメントが認識していなかった」と説明した。脆弱性の具体的な内容については言及を控えるとした。

 なお、クレジットカード情報について「漏洩の証拠はないが、可能性がある」としている。その理由について、「クレジットカード情報については暗号化されている。また、その情報を読みに行った形跡がない、ということで証拠がないと分類している」とした。パスワードについては、「暗号化はされていないが、ハッシュ化はされている」とのこと。

 また、2011年に入ってから「アノニマス」というグループから攻撃を受けていたことについても言及。サーバーへの攻撃や店舗での座り込みの呼びかけに加え、経営陣の家族の名前や所属を公表されるなどの攻撃を受けていたとのことで、「健全で安心な社会のためにも、捜査当局や関連機関と協力し、毅然とした態度で対応する」(平井CEO)とした。

今後の経営方針について
 ただし、このアノニマスは今回の事件への関与を否定しており、平井CEOも「(関連を) 示唆するものではない。あくまで背景説明です」とする。今回の攻撃者やその意図についても現時点では不明という。また、問題発覚から会見までが遅かったことについても、「復旧までの時期も含めて、ある程度確度の高い情報をお届けしたかったという判断」とした。

 今後の事業への影響について、平井CEOは、「NGP、タブレットなどもネットワークが重要になる。ネットワークを使ったユーザーエクスぺリエンスで、これは楽しいと思っていただける商品を提供したい。そのロードマップに変更はなく、ソニーがやっていく道だと考えている。NGPやタブレットについても発売日などに変更はない」とした。


(2011年 5月 1日)

[AV Watch編集部 臼田勤哉]