PlayStation Network個人情報流出事件
PlayStation Network個人情報流出事件︵プレイステーションネットワークこじんじょうほうりゅうしゅつじけん︶とは、2011年︵平成23年︶4月に発生したソニーが運営するPlayStation Network︵以下、PSN︶における大規模な情報流出事件である。
事件の経過[編集]
2011年4月14日より断続的にPlayStation Networkへの接続が途切れるようになり、米国時間4月19日(日本20日)、米国にあるサーバーで異常な動きを確認。そして、米国時間4月20日(日本21日)、PSNに大規模なアクセスエラーが生じ、サインインできない状態となった。4月23日に外部要因とみられる影響と発表されたが[1]、実際は4月17日から4月19日にかけて受けたシステムへの不正侵入により、PSN利用者、約7700万件分の個人情報が流出した可能性が出たためにサービスを停止したことが原因であった[2]。 不正侵入を受けたことについては日本時間4月27日に公表され[3]、各個人にEメールにて呼びかけを行ったが、1週間を空けての情報公開に、欧米ユーザーからは訴訟および政治家からの質問状が飛び交わされ続けている[4][5]。ソニー側の発表によれば、流出したのは﹁住所﹂や﹁氏名﹂といった個人情報、﹁PSNのID、パスワード﹂、﹁クレジットカード番号、各種購入履歴﹂などで、個人情報のうち、名前や住所、生年月日などの情報は暗号化していなかったが、クレジットカード番号は暗号化していたとしている[6]。サービス停止に伴いゲーム配信が相次いで延期された[7]ほか、ユーザー離れを指摘するアナリストも現れた[8]。 なお、PSNと共通のネットワークを利用しているQriocityも同様にサービス停止に追い込まれたほか、Qriocityの利用者情報も流出したことが明らかにされている[3]。 ソニーは日本時間5月1日に緊急記者会見を行い、﹁段階的にPSNのサービスを再開していき、完全復旧は5月中を予定している﹂と会見で公表した。またサーバーの脆弱性に対処していなかったことが不正侵入の原因であると発表し[9]、一部コンテンツの無料配信などを﹁お詫び﹂として提供するが、現段階で金銭的な被害が認められないとしてユーザーへの一律補償については否定的な考えを示した[10]。クレジットカード情報の流出に関しては、﹁︵クレジットカードの情報の︶項目を読みに行った形跡がない﹂こと、そして、FBIに捜査を依頼したことを明らかにした[11]。 5月4日、米下院エネルギー・商業委員会小委員会が行なった公聴会に︵招致されていた︶ソニー幹部が欠席し、非難を浴びた[12]。公表された回答書によると、すべての利用者7,700万人の個人情報が不正利用者から盗まれたことが明らかになった︵同月3日時点ではクレジットカード情報の不正利用はないと報告している︶[13]。また、侵入を受けたサーバーからは﹁Anonymous︵アノニマス︶﹂というファイルが発見され、﹁We Are Legion︵我々は軍団だ︶﹂という文字列で構成されていた[14]。このことや数週間前のサーバー攻撃から、ソニーは以前からPSNを攻撃のターゲットにしていた米国ハッカー集団﹁アノニマス﹂関与の可能性を示唆したが、アノニマス側はブログ上で否定した[15]。しかしNHKの取材で、ソニーグループのコンピュータに侵入したことが明らかになった[16]。 5月6日、ハワード・ストリンガー会長は同問題に対する謝罪文をブログ上に掲載したほか、北米のユーザーに対しては1人あたり最大100万ドルの補償制度を導入したと発表[17]。 5月7日、5月1日時点で1週間程度としていた一部のコンテンツサービスの再開を当面延期することを決定した[18]。 5月12日、ソニーは再開に向けて﹁安全性の高いサーバーへ情報を移設完了した﹂と発表。引き続き、暗号化の強化や新たなファイアウォールの設置作業などを行っている事も明らかにした。また、サイバー攻撃の早期発見を促す警告システムの導入なども行うという[19]。 5月15日、PS3のアップデートを行ない[20]、米国および欧州地域においてPSNおよびQriocityのサービスを段階的に再開すると発表した[21]。 5月16日、ストリンガーがメディアに対しての取材に応じ﹁対応は迅速であった﹂と答えているが、英語版CNETにてこの記事を見たユーザーの評価は合計して83%がたちの悪いジョークだという評価を下している。 5月17日、米下院エネルギー・商業委員会小委員会は再度ソニーに質問状を送付した[22]。 欧米での一部サービス再開にあたり、PS3のアップデートとパスワードの変更を必須とするしていたが、Webサイト上でのパスワードの再申請手続きにおいて、漏えいしたメールアドレスと生年月日を入力すると本人でなくても再申請が可能となる欠陥が発覚、5月18日にWebサイトでの再申請サービスを中止した︵PS3からの再申請は可能︶[23]。 日本およびアジア地域の再開は近日中に行われるとアナウンスされているが、日本では経済産業省から﹁5月1日に対策として挙げられていた事項が遂行されていない﹂と再開の許可が下りていない[24]。理由の内訳としては、ソニーがカード不正使用への監視対策を講じていない[25]ことや、日本には欧米のような補償サービスが存在しない[25]ことなどが挙げられる。 6月4日、ソニー・ヨーロッパは、外部に流出したのは一部の公開情報だけで、サイト利用者の個人情報は盗まれていないとしている。AP通信によると、不正侵入したのはレバノン出身のハッカーで、外部に流出したのは放送用などの業務用機器を購入した顧客に機器の使い方を教える契約社員の氏名や顔写真、メールアドレスだけだという[26]。ただし、これらの情報はすべてウェブサイトに公開していた。 6月6日、5月下旬からSPE等へクラッキングを行っていた集団﹁LulzSec﹂がPSNにクラッキングを試みた際に入手したPSN開発者用ネットワークのソースコードをtorrentにて公開した。 6月10日、スペイン国家警察がアノニマスの3人を逮捕したと発表。しかし、DDoS攻撃の証拠はあったもののPSNサーバのクラッキングに関わる証拠が見つからなかったため翌11日に釈放された。 6月15日、共同通信の情報公開請求に対し経済産業省が公開した資料[27]により、相当量のデータが漏洩したことをことが明らかとなった[28]。なお、5月1日の会見では﹁一部の情報が漏えいしていた可能性がある﹂と説明していた。これに対しSCEの広報は﹁ユーザIDとパスワードは個人情報ではない﹂と釈明している[29]。 6月20日、新しく提訴された訴状より、個人情報漏洩事件から2週間ほど前にソニーがセキュリティ担当部門の従業員を多数解雇していたことが明らかとなった[30]。 9月15日、アメリカにおいて規約改正を行い、﹁PSNを使用し続ける場合、クラスアクションに参加しての申し立てはできない。ソニーに対して成立する可能性がある法制にサインすることもできない。﹂といった旨の規約が発表された[31]。サービス再開[編集]
5月27日にSCEは翌28日より日本およびアジア諸国のサービスを一部再開することと、ユーザへのお詫びとして無料提供されるゲームのタイトルを発表した[32]。 5月28日より一部のサービスが再開。また、SCEはサービス再開の際にパスワードを変更するよう呼びかけている︵旧来のパスワードは使用不可能だが、パスワード変更後にもう一度パスワードの変更をすることで旧来のパスワードを使用することはできる︶。なお、6月2日に米国議会からの任意出頭にようやく応え、公聴会は開催された。 6月2日に欧米およびアジアの一部で、14日に香港で、24日に韓国でサービスが全面再開された。最後に残された日本も7月6日にサービスが全面再開され、PCからのPSNへのサインインも可能になっている[33]。注釈[編集]
(一)^ “SCEJ、PlayStation Networkに障害発生中 ﹁復旧までに一両日かかる可能性﹂”. GAME Watch. (2011年4月22日) 2011年4月24日閲覧。
(二)^ “ソニーPSネットに不正侵入、7700万人の情報流出の可能性”. ロイター. (2011年4月27日) 2011年4月27日閲覧。
(三)^ ab“PlayStation®Network/Qriocity™をご利用の皆様へのお詫びとお願い” (2011年4月27日). 2011年4月27日閲覧。
(四)^ “プレステ個人情報流出、米ユーザーらがソニー集団提訴”. AFP. (2011年4月29日) 2011年4月30日閲覧。
(五)^ “ソニーの個人情報流出問題、米下院が質問状”. 読売新聞. (2011年4月30日) 2011年4月30日閲覧。[リンク切れ]
(六)^ “︻PS3情報流出︼カード番号は暗号化 ソニー、個人情報流出で”. 産経新聞. (2011年4月29日) 2011年4月29日閲覧。[リンク切れ]
(七)^ “ソニー向けゲーム、配信延期相次ぐ 個人情報流出”. 日本経済新聞. (2011年4月29日) 2011年4月30日閲覧。
(八)^ “ソニー<6758.T>のネット不正侵入で欧米顧客が動揺、プレステ離れの兆しも”. ロイター. (2011年4月28日) 2011年4月30日閲覧。
(九)^ “ソニー7700万件情報流出、原因は﹁脆弱性への未対処﹂”. 読売新聞. (2011年5月2日) 2011年5月3日閲覧。[リンク切れ]
(十)^ “ソニーがネットサービスを週内に一部再開、情報流出に副社長が陳謝”. ロイター. (2011年5月2日) 2011年5月2日閲覧。
(11)^ “︻PS3情報流出︼ソニー信頼失墜、遅すぎた会見 トヨタの二の舞も” (2011年5月2日). 2011年5月2日閲覧。[リンク切れ]
(12)^ “米国‥ソニー問題で幹部招致も検討…下院公聴会”. 毎日新聞. (2011年5月5日) 2011年5月5日閲覧。[リンク切れ]
(13)^ “︻PS3情報流出︼ソニー、利用者全員の流出を確認 プレステネット7700万人”. 産経新聞. (2011年5月5日) 2011年5月5日閲覧。[リンク切れ]
(14)^ “ソニー攻撃、ハッカー集団﹁アノニマス﹂か”. 読売新聞. (2011年5月6日) 2011年5月6日閲覧。[リンク切れ]
(15)^ “﹁アノニマス﹂が個人情報流出への関与否定、﹁ソニーは無能﹂”. ロイター. (2011年5月6日) 2011年5月6日閲覧。
(16)^ https://www.nhk.or.jp/gendai/kiroku/detail02_3122_1.html
(17)^ “ソニーのストリンガー会長‥情報漏れ謝罪、1人最大100万ドル補償(1)”. bloomberg.co.jp. (2011年5月7日) 2011年5月18日閲覧。
(18)^ “ソニー、PSN再開を延期…映画・音楽配信も”. 読売新聞. (2011年5月7日) 2011年5月9日閲覧。[リンク切れ]
(19)^ “ソニー、PSNなどのサーバー移設を完了-サービス再開のめどはまだ”. IBTimes. (2011年5月13日) 2011年5月15日閲覧。
(20)^ “2011年5月15日 “PlayStation 3”システムソフトウェアver.3.61 アップデートに関するご案内”. プレイステーション® オフィシャルサイト (2011年5月15日). 2011年5月15日閲覧。
(21)^ “PlayStation®NetworkおよびQriocity™(キュリオシティ)サービス再開について” (PDF). ソニー、ソニー・コンピュータエンタテインメント (2011年5月15日). 2011年5月15日閲覧。
(22)^ “米下院小委がソニーに追加質問状…個人情報流出”. 読売新聞. (2011年5月18日) 2011年5月21日閲覧。[リンク切れ]
(23)^ “ソニー不正アクセス‥PSNパスワード変更で不具合PC利用を一時停止”. まんたんウェブ. (2011年5月19日) 2011年5月21日閲覧。[リンク切れ]
(24)^ “﹁PlayStation Network﹂、国内で再開されていない理由とは”. Cnet Japan. (2011年5月17日) 2011年5月17日閲覧。
(25)^ ab“ソニー、カード対策急務 国内オンラインサービス再開の条件”. 朝日新聞: p. 8. (2011年5月21日)
(26)^ “ソニー欧州で不正侵入 利用者の個人情報流出なし”. 47NEWS. (2011年6月5日) 2011年6月5日閲覧。
(27)^ “﹁ソニーが漏洩を事前に知りつつ“可能性”と矮小化した件﹂の証拠文書”. マサミネのレビュー勝手口(フリーライター瀬川雅峰). (2011年6月20日) 2011年6月25日閲覧。
(28)^ “ソニー﹁相当量のデータ﹂流出 発表前日に事態把握 ”. 47NEWS. (2011年6月15日) 2011年6月15日閲覧。
(29)^ “ソニーが…情報流出“被害矮小化”?イメージダウン必至”. zakzak. (2011年6月15日) 2011年6月15日閲覧。[リンク切れ] PSN公式ではIDとパスワードも個人情報に含まれると書かれている
(30)^ “ソニー<6758.T>、個人情報大量流出前にセキュリティー担当者を多数解雇=集団訴訟原告”. ロイター. (2011年6月24日) 2011年6月25日閲覧。
(31)^ “Sony Outrage: No PSN Unless You Waive Lawsuit”. gamestooge. (2011年9月15日) 2011年9月16日閲覧。
(32)^ “PlayStation®Network・Qriocity™︵キュリオシティ︶の一部サービス 日本およびアジアの国・地域でも再開”. Playstation.com. (2011年5月27日) 2011年5月27日閲覧。
(33)^ “日本におけるPlayStation®Network・Qriocity™︵キュリオシティ︶のサービス全面再開のお知らせ”. ソニー、ソニー・コンピュータエンタテインメント (2011年7月4日). 2011年7月4日閲覧。