今度はSony Picturesから個人情報流出か？　ハッカーグループが声明

「LulzSec」の声明文

　「LulzSec」と名乗るハッカーグループが2日、Sony Pictures Entertainmentのサイトなどに侵入し、個人情報などを入手したとする声明を出すとともに、盗み出したデータをインターネット上で公開した。

　声明文によると、「SonyPictures.com」からパスワードやメールアドレス、住所、生年月日など、100万人以上の個人情報や、7万5000件のミュージックコード、350万件のミュージッククーポンの管理データにアクセスしたとしている。

　LulzSecでは侵入の手口について、最も原始的で一般的に知られているような（今では誰でも知っていなければならないような）非常に単純なSQLインジェクションの脆弱性だったと説明。「こうした単純な攻撃にさらされたような企業を、なぜあなたは信用するのか？」と皮肉っている。盗んだデータは暗号化されておらず、パスワードもプレーンテキストだったという。

　また、「1つのインジェクションから、すべてにアクセスした」としているが、グループ側にリソースがなかったために全データを抜き取ってはいないとしている。

　このほか、入手したデータには、ベルギーとオランダのSony BMGの利用者や従業員のデータもあるとしている。

　ソニー株式会社広報センターによると、3日夕方現在、事実関係を確認中。Sony PicturesのFacebookページでは、この件については調査中であり、新しい情報が入り次第報告するとし、同社のFacebookやTwitterをフォローしてほしいとコメントしている。

　一方、セキュリティベンダーの英Sophosが今回の件について同社ブログで言及。パスワードがプレーンテキストで保管されていた点を挙げ、インターネット利用者に対して「あなたのパスワードが安全に保管さているとは思ってはいけない」と戒めるとともに、今回のようなハッキングが起こった際でも自分の個人情報の漏えいを最小限にするために、利用しているすべてのサイトで別々のパスワードを使うよう呼びかけている。

　なお、Sophosによると、LulzSecが公開したデータの一部を見たところ、「123456」「123qaz」「michael」のようなパスワードが多かったという。