ソニー、7700万件の個人情報漏えいに対して謝罪

　ソニー株式会社と株式会社ソニー・コンピュータエンタテインメント（SCE）は1日、東京・品川のソニー本社で緊急記者会見を開催。ソニーの代表執行役副社長であり、SCE代表取締役社長兼グループCEOの平井一夫氏らが出席し、PlayStation NetworkおよびQriocityの不正アクセスに関する現時点の調査内容と今後の対応について説明した。

　会見の冒頭では、平井副社長とともに、ソニー業務執行役員シニア・バイス・プレジデント チーフ・インフォメーション・オフィサー（CIO） ビジネストランスフォメーション/ISセンター長の長谷島眞時氏、業務執行役員 シニア・バイス・プレジデント 広報・CSR担当、広報センター長の神戸司郎氏が、謝罪した。

会見冒頭、謝罪するソニーの平井一夫副社長（中）、長谷島眞時氏（右）、神戸司郎氏（左)

　平井副社長は、「このたび、PlayStation NetworkおよびQriocityのサービスにご登録をいただいておりますユーザーのみなさまのアカウント、個人情報の漏えいの可能性につきまして、ユーザーのみなさまには多大な不安とご迷惑をおかけしておりますことを深くお詫び申し上げます。誠に申し訳ございませんでした」とする一方で、「故意の不正侵入により、お客様のセキュリティを脅かす可能性があるサイバーテロ行為が行われたと判断。サイバー攻撃は、ソニー1社だけに対するものではなく、業界全体にとって大きな脅威。安心で健全なネットワーク社会の発展に寄与するためにも、自社でのセキュリティ強化に加え、捜査当局や関係諸機関、業界団体とも連携・協力し、違法な情報搾取行為に対しては、毅然とした態度で対応を継続する」とコメントした。

●4月17日から19日にかけて不正アクセス

　ソニーでは、まず、これまでの経緯について説明した。

ソニー代表執行役副社長、SCE代表取締役社長兼グループCEOの平井一夫氏

　PlayStation NetworkおよびQriocityは、米国カリフォルニア州サンディエゴ市内にあるデータセンターで運営されているが、米国時間の4月19日（日本では4月20日）に、サーバーの異常な動きを確認したことで、調査を開始した。

　PlayStation NetworkおよびQriocityのサービスは、2010年4月に発足したソニーグループ内のネットワークサービスの管理、運営を行うSony Network Entertainment International（SNEI）が担当。4月20日（以下、米国時間）の異常な動作を受けた社内調査の結果、4月17日から19日にかけて不正アクセスがあったことが判明し、本格的な調査を行うためにサーバーを停止。PlayStation NetworkおよびQriocityのサービスも停止した。

　同日から、外部の米国情報セキュリティ専門会社とともに共同で実態の把握に着手したが、「侵入者は高度な技術を持っており、攻撃も巧妙なものであることがわかったため、もう1社、著名なコンピュータ解析の会社にも依頼し、高度な解析を含めて、さらに徹底調査を行った」（平井副社長）という。

　4月24日からは複数の情報セキュリティ専門会社が調査に関わり、「サーバーのなかでなにが起きたのか、そして調査に必要となる情報収集に必要な、大量のデータの解析を開始した」という。

　その結果、4月26日には個人情報漏えいの可能性が否定できないことが判明したため、ウェブを通じて告知を行うと同時に、全登録メールアドレス宛に、判明した情報とセキュリティ確保のための注意喚起を通知したという。

●個人情報7700万件が漏えい、クレジットカード情報1000万件も可能性

ソニー業務執行役員シニア・バイス・プレジデント チーフ・インフォメーション・オフィサー（CIO） ビジネストランスフォメーション/ISセンター長の長谷島眞時氏

　ソニーから漏えいしたとみられる情報は、PlayStation NetworkおよびQriocityに登録した、氏名、国と住所、Eメールアドレス、生年月日、性別、PlayStation NetworkおよびQriocityのログインパスワード、PlayStation NetworkのオンラインID。一方で、漏えいした可能性があるとして、購入履歴、請求先住所を含むプロフィールデータ、ログインパスワード再設定用の質問への回答などのプロフィールデータ、クレジットカード番号および有効期限に関する情報としている。

　クレジットカードの3桁ないし4桁のセキュリティコードは、情報漏えいの可能性からは除外されている。

　漏えいした情報は約7700万件。「四捨五入では7800万件になる。この中には複数のアカウントを持っている人もいるため、人数としてはそれよりも少なくなる」（平井副社長）とした。

　なお、漏えいしたアカウント数は日本が742万7038件、米国が3114万307件、英国が929万6317件、フランスが470万1424件、カナダが352万4227件、ドイツが323万3800件などとなっている。

　また、クレジットカード情報では最大1000万件の漏えいの可能性があるという。PlayStation Networkの決済には、クレジットカードのほかにも、プリペイド方式のプレイステーションネットワークカード、プレイステーションネットワークチケット、電子マネーなどがあるため、個人情報よりも少ない1000万件規模となってvいる。

　「漏えいしたとみられる情報と、漏えいの可能性がある情報という2つに分類したのは、解析の結果から、データにアクセスした形跡があるかないかによるもの。クレジットカード番号なども漏えいした可能性は否定できないが、漏えいの可能性が低いとしたのは、情報が暗号化されていること、データベースのその項目にアクセスした形跡がないため」（長谷島業務執行役員）と説明した。

　PlayStation NetworkおよびQriocityのログインパスワードは暗号化されていなかったがハッシュ化されていた。また、クレジットカード情報は別のサーバーに格納されていたという。

　なお、ソニーでは、「現時点では、クレジットカードの不正使用、あるいは金銭的な被害報告は確認していない」としている。

●既知の脆弱性を突いた不正アクセス

　不正アクセスの手段については、長谷島氏が説明した。

　PlayStation NetworkおよびQriocityのシステムは、ウェブサーバー、アプリケーションサーバー、データベースサーバーの3層で構成されており、それぞれにファイヤーウォールが設置されており、必要最小限の許可された通信のみが通過できるようになっている。

　「今回の不正アクセスは、ファイアウォールでは検知できない、正常なトランザクションとして入ってきて、正常なトランザクションとして出ていくものであり、極めて巧妙であり、従来の仕組みでは防御できず、そのためすぐには検知できなかった。」

　今回の侵入はアプリケーションサーバーの脆弱性を突いたものであり、ネットワークを介して、ウェブサーバーを通じ、アプリケーションサーバー上に不正ツールを導入し、侵入経路を確立することで、外部からの操作が可能な環境を構築。このツールによって、アプリケーションサーバーから、データベースサーバーへのアクセス権を入手し、個人情報を含むデータにアクセスしたものと考えられるという。

　「世の中に広く知れ渡った既知の脆弱性を突かれたものであり、その点では、SNEIの経営陣はこれを認識していなかったのが事実。ソニーグループ全体として、対応の仕方、体制の構築を抜本的に改革していく必要がある。脆弱性への対応を的確に行い、その頻度を高めること、モニタリングをもっと強化すること、データセンターそのものの堅牢性も見直しが必要である」と語った。

●Anonymousからの不正アクセスの事実も公表

　会見の中では、平井副社長が「今回の不正侵入との関連性は定かではなく、限定できるものではない。そして関連性を示唆するものではない」と前置きしながらも、ここ数カ月に渡って、Anonymous（アノニマス）から不正アクセスを受けていたことを、「背景説明の1つ」として明らかにした。

　「不正侵入以前からも、Anonymousというグループから、ソニーのネットワークに対して、さまざまな攻撃を仕掛けるということが続き、ソニーのトップマネジメントの個人情報のほか、子供をはじめとする家族の名前、学校といった情報がネット上で公開された。また、世界中のソニーストアでの店舗前での座り込みをネット上で呼びかけるといった行動があった」とした。

●データセンター移管などのセキュリティ対策を施す

　今後の対策としては、PlayStation NetworkおよびQriocityのセキュリティ強化、個人情報の保護強化を目的とした安全管理措置として、SNEIが以前から計画していたよりセキュリティレベルが高い他のデータセンターへのシステム移管を前倒しで実施。不正なアクセスの検知機能を強化し、個人情報をより厳重に管理、保護する仕組みとして、「新たな攻撃に対する自動的なソフトウェア監視機能と環境設定項目の管理機能の強化」「データ保護と暗号化のレベル強化」「PlayStation NetworkおよびQriocityネットワークへの不明なソフトウェアの侵入、不正アクセス、不審行為の検知能力向上」「新たなファイアウォールの増設」に取り組むことを発表。また、サービスの再開にあたり、PS3のシステムソフトウェアをバージョンアップするという。

　ソフトウェアのバージョンアップにより、すべてのPlayStation Networkユーザーに対して、アカウントのパスワード変更を行うよう要請する。

　「より安全な環境を確保するため」（平井副社長）に、パスワード変更に関しては、すでにユーザーアカウントで機器認証されているPS3、または登録している有効なEメールアドレス経由でのみ変更が可能となる。

　さらに平井副社長は、「お客様になりすました不正ログインや不正利用を防ぐため、アカウント登録されている情報の詳細やクレジットカードの引き落とし履歴などを定期的に確認していだたくことを推奨する。また、他のネットワークサービスで、PlayStation NetworkおよびQriocityと同じIDやパスワードなどを使用している場合にも、それを変更してもらいたい。さらに、ソニー・コンピュータエンタテインメントから、お客様のクレジットカード情報などの個人情報を、Eメールや電話、郵便でお尋ねすることがないことを注意喚起していく」とした。

　また、SNEI社内に、新たにChiefInformation Security Officer（CISO）を設置し、CISOは、ソニーのCIOである長谷島氏に直接レポートすることになる。

　加えて、「SNEIは米国に本社を持つ会社であることから、まずはFBIに対して、ソニーとソニーのお客様に対する犯罪行為の捜査の依頼をした。今回の不正アクセスについては、捜査当局に全面的に協力をし、不正アクセス者の特定、訴追に向けて徹底した調査を行っていく。捜査状況は今後、改めて報告する」とした。

●5月中には全面的なサービス再開を目指す

　SCEとSNEIは、1週間以内を目指し、地域ごとにサービスを段階的に復旧させていく姿勢を示し、PS3およびPSPのでのオンライン対戦、PlayStation Networkへのログイン認証が必要なタイトルおよびダウンロードされたタイトルのゲームプレイ、PlayStation Networkのビデオ配信サービスでダウンロード済みのレンタル映像コンテンツのPS3、PSP、Media Goでの再生（有効期限内に限る）、音楽配信サービス 「Music Unlimited powered by Qriocity」のPS3およびPSPでの再生（現行会員限定）、PlayStationPlusの各サービスを再開させるという。

　また、平井副社長は、「PlayStation NetworkおよびQriocityの安全性の向上に伴い、2011年5月中の全面再開を目指している」とした。

　「ご心配をおかけし、長期間に渡りサービスを利用してもらえなかったことに対するお詫びと、感謝の気持ちを込めて、いくつかのサービスを提供する」として、特定コンテンツの無料ダウンロード、定額制サービスパッケージ「PlayStationPlus」の30日間無料加入および現行会員向けに30日間無料提供、Music Unlimited powered by Qriocityの会員向けに30日間無料提供を予定している。「これ以外にも、それぞれの国にあわせて、独自のサービスの提供を計画している。詳細はウェブサイトなどを通じて告知する」という。

　さらに、「クレジットカードの再発行を希望する場合にはサポートする」として、再発行手数料の負担などを検討していくほか、「海外では個人情報保護サービスの利用などを無料にするサポートを用意する。地域ごとの状況、お客様のご希望に応じたサポートを提供し、安心してクレジットカードを利用してもらえるようにする」（平井副社長）とした。

　個人情報漏えいに対する具体的な補償額に関しては、「現時点では、クレジットカード情報が漏えいした事実や、不正使用の実績がないが、そうしたことが発生した場合には個別に対応していくことになる」という。

　また、業績への影響については、「まだクレジットカードの不正利用の被害がないこともある。また、クレジットカードの再発行手数料の負担などのサービス内容が決まっていないこと、PlayStation NetworkおよびQriocityのサービスが停止したことでの売り上げ減といったさまざまな要因があり、どのぐらいの影響があるかは精査できていない」と語った。

　経営責任については、「いま一番に考えなくてはならなのは、ソニーのネットワーク戦略、コンテンツ、サービス、商品について、信頼を寄せてもらえるような対処をすること。それが重要なポイントであり、もう一度、ご支援いただけるソニーにしていきたいと考えている」とした。

　ソニーでは4月26日にAndroid 3.0を搭載した「Sony Tablet」を発表し、平井副社長自らが登壇して、ネットワークビジネスがソニーにとって重要な柱になることを強調したばかり。「ハードとソフト、ネットワークの融合によって新たなものを生み出す製品がSony Tablet。ネットワークによって、より高い価値をもたらすことができる」とコメントしていた。

　平井副社長は、「Sony Tabletの発表時点では、不正アクセスに関する事実を認識し、情報の分析も行っていた。だがその時点では、ユーザーに対して、情報を提供する段階には至っていなかった」と説明。「今年秋のSony Tabletの発売、年内のNGPの発売予定に変更はない」とした。

　平井副社長は、「ネットワーク戦略はソニーグループにとって、最重要戦略の1つである。これは今後も引き続き、強化をしていく。これを力強く支えるためにも、今回の問題の発生と経緯を通じて、ソニーグループ全体の情報管理体制を一層強化していく。何が不備だったのかといったことを捉え、システムの見直しを図っていく必要もあるだろう。私たちが最も大切にすべきお客様にご迷惑をおかけしたこと、サービスを長期に渡り停止したことに、改めて深くお詫びする。今後ともタイムリーに情報公開を行っていく」とした。