ソニー、PSNとQRIOCITY不正アクセス問題で会見
ソニーは5月1日、PLAYSTATION NETWORK(PSN)及びQRIOCITYへの不正アクセスに関する説明会を実施。会見でソニー株式会社 代表執行役 副社長 コンスーマープロダクツ&サービスグループ プレジデント、株式会社ソニー・コンピューターエンタテインメント 社長兼グループCEO 平井一夫氏は、「私たちが最も重視すべきお客様に迷惑をおかけしたことを深くお詫びする」と陳謝しながら、「ネットワーク戦略はソニーがグループの最重要戦略の1つとしているもので、今回の件によってその戦略に変更を行なうことはない。SONY TABLETなどの発売日にも一切変更はない」と強調した。
【拡大画像や他の画像】
今回の不正アクセスは、4月17日から19日にかけて、米国にあるソニーグループのネットワーク事業の運営、管理を担当するSONY NETWORK ENTERTAINMENT INTERNATIONAL(SNEI)のサーバーに不正アクセスが行なわれ、最大で7,700万件の情報が漏えいした可能性がある。
ソニーでは、今回の不正アクセスの経緯について、米国時間4月19日(日本時間20日)にサーバーに異常な動きを感知したことから調査を開始。翌20日(同21日)、社内調査により17日から19日にかけて不正アクセスがあったことが判明。本格的な調査を行なうためにサーバーを停止し、PSN、QRIOCITYサービスも停止した。その後、20日(同21日)から24日(同25日)までに外部のセキュリティ専門会社3社へ調査を依頼し、徹底調査を行なった結果、個人情報の漏えいの可能性が判明。4月26日(同27日)にウェブへの告知と、登録メールアドレス宛に判明した情報とセキュリティ確保の注意喚起を行なった。
情報漏えいが発覚してから、今回の会見を行なった5月1日までタイムラグがあり、特に4月26日には平井副社長が登場しSONY TABLETの発表会を行なっていたにも関わらずこの件に関する言及がなかったことについては、「今回、外部のセキュリティ対策会社3社に調査を依頼し、調査、解析に時間がかかった。ある程度、精度の高い情報を提供するために時間がかかったことをご理解頂きたい。確かに、4月26日のTABLET発表段階で情報漏えいの事実は認識していたが、精度の高い情報が私の手元に届いたのは1日後の27日だった」(平井副社長)と話している。
漏えいしたと見られる個人情報は、氏名、国と住所、Eメールアドレス、誕生部、性別、PLAYSTATION NETWORK及びQRIOCITYのログインパスワード、オンラインID。なお、ログインパスワードについては、ハッシュ化されていたものの、暗号化されていなかった。
漏えいの可能性があると見られる個人情報は、過去の買い物履歴と請求住所を含むプロフィールデータ、PLAYSTATION NETWORK、QRIOCITYのログインパスワード照合時の質問、セキュリティコードを除くクレジットカード番号と有効期限。こちらの情報は、漏えいしたと思われる情報とは別なところに保管され、データが暗号化されていた。
漏えいしたと見られる個人情報と、漏えいの可能性がある個人情報の違いは解析結果に基づく分類で、「漏えいの可能性があるとしたクレジットカード番号などのデータは暗号化され、さらにデータベースのその項目を読みに行った形跡がない」(ソニー株式会社 業務執行役員 シニア・バイス・プレジデント チーフ・インフォメーション・オフィサー ビジネス・トランスフォーメーション/ISセンター長 長谷島眞時氏)と説明している。
不正アクセスが行なわれた要因としては、利用していたシステムのアプリケーションサーバーの脆弱性をつかれた。アプリケーションサーバーの詳細については、「セキュリティ的な観点から公表は控える」としている。また、この脆弱性は既知のものであったが、「SNEIのマネージメントはこれを認識していなかった」という。
今回の不正アクセスを受け、システム側は現在SNEIが利用しているデータセンターを、よりセキュリティレベルの高いデータセンターへの移管を前倒しで実施。新たなファイアーウォールの増設、不正アクセスに対するソフトウェアの自動的なプロセス監視機能と環境設定項目の管理機能の強化、データ保護と暗号化のレベル強化、PSN/QRIOCITYネットワークへの不明なソフトウェアの侵入、不正アクセス、不審行為に対する見地能力の向上を図る。
さらにチーフ・インフォメーション・セキュリティ・オフィサー職を新設し、CIOである長谷島氏に直接レポートをあげる。
サービス再開前には、PS3のシステムソフトウェアをバージョンアップし、PLAYSTATION NETWORKのアカウントを持つ全ユーザーに対してパスワードの変更を実施する。
顧客への対応としては、すでに26日(同27日)から実施している注意喚起で、アカウントに登録しているクレジットカードの引き落とし履歴などの定期的な確認、PSNで利用しているユーザーIDやパスワードを他のインターネット上のサービスで利用している場合の変更などを改めて告知強化していく。
さらに、利用者の国など地域に応じて、クレジットカード再発行を行なうユーザーに対するサポート、本人確認の認証強度を高めるアイデンティティプロテクションサービスなどの利用を無料サポートする。
また、ユーザーへのお詫びとして特定コンテンツの無料ダウンロード、定額制パッケージサービス「PLAYSTATION PLUS」の30日間無料加入と、現行会員に対しては30日間の無料提供、MUSIC UNLIMITED POWERED BY QRIOCITY(日本はサービス展開していない)会員向けに30日間無料提供を行なう。今後、さらにサービスを追加することも計画している。
個人情報の流出に対し、商品券の配布といった金銭的な補償をする計画は現行では無いという。
サービス再開は5月1日時点から1週間以内に実施し、全面的なサービス再開は5月中を目指す。
ソニーではネットワークを今後の事業の中核に据えていく方針としているが、今回の情報漏えい後もその方針に変更はない。情報管理体制をさらに強化して対応する。
「今回の事件とは直接関係があるかは不明だが、ソニーでは以前からアノニマスというハッカーグループからさまざまな攻撃を受けている。こうした犯罪行為は、ソニー1社の問題ではなく、捜査当局などの関係機関とも協力し、ネットワーク犯罪に対しては毅然とした対応を行なう」(平井副社長)とハッカーやクラッカーに対しては毅然とした態度をとっていくことを強調した。
今回の不正アクセスによる顧客へのダメージに対しては、「QRIOCITYの世界展開、PSN、NGPとネットワークが顧客体験に密接な関わりを持つものであることは確かで、ユーザーの皆さんへの信頼を再び取り戻すためには、技術面及びもう1度楽しいと評価して頂けるようなコンテンツとネットワーク商品を提供していくしかない。SONY TABLET、NGPの発売予定にも変更は一切行なわない」(平井副社長)ことも改めてアピールした。
また、今回の事件による業績への影響については、対象が広範囲に及ぶため現時点ではどの程度の影響があるのか精査できていないという。
【PC WATCH,三浦 優子】
【拡大画像や他の画像】
今回の不正アクセスは、4月17日から19日にかけて、米国にあるソニーグループのネットワーク事業の運営、管理を担当するSONY NETWORK ENTERTAINMENT INTERNATIONAL(SNEI)のサーバーに不正アクセスが行なわれ、最大で7,700万件の情報が漏えいした可能性がある。
ソニーでは、今回の不正アクセスの経緯について、米国時間4月19日(日本時間20日)にサーバーに異常な動きを感知したことから調査を開始。翌20日(同21日)、社内調査により17日から19日にかけて不正アクセスがあったことが判明。本格的な調査を行なうためにサーバーを停止し、PSN、QRIOCITYサービスも停止した。その後、20日(同21日)から24日(同25日)までに外部のセキュリティ専門会社3社へ調査を依頼し、徹底調査を行なった結果、個人情報の漏えいの可能性が判明。4月26日(同27日)にウェブへの告知と、登録メールアドレス宛に判明した情報とセキュリティ確保の注意喚起を行なった。
情報漏えいが発覚してから、今回の会見を行なった5月1日までタイムラグがあり、特に4月26日には平井副社長が登場しSONY TABLETの発表会を行なっていたにも関わらずこの件に関する言及がなかったことについては、「今回、外部のセキュリティ対策会社3社に調査を依頼し、調査、解析に時間がかかった。ある程度、精度の高い情報を提供するために時間がかかったことをご理解頂きたい。確かに、4月26日のTABLET発表段階で情報漏えいの事実は認識していたが、精度の高い情報が私の手元に届いたのは1日後の27日だった」(平井副社長)と話している。
漏えいしたと見られる個人情報は、氏名、国と住所、Eメールアドレス、誕生部、性別、PLAYSTATION NETWORK及びQRIOCITYのログインパスワード、オンラインID。なお、ログインパスワードについては、ハッシュ化されていたものの、暗号化されていなかった。
漏えいの可能性があると見られる個人情報は、過去の買い物履歴と請求住所を含むプロフィールデータ、PLAYSTATION NETWORK、QRIOCITYのログインパスワード照合時の質問、セキュリティコードを除くクレジットカード番号と有効期限。こちらの情報は、漏えいしたと思われる情報とは別なところに保管され、データが暗号化されていた。
漏えいしたと見られる個人情報と、漏えいの可能性がある個人情報の違いは解析結果に基づく分類で、「漏えいの可能性があるとしたクレジットカード番号などのデータは暗号化され、さらにデータベースのその項目を読みに行った形跡がない」(ソニー株式会社 業務執行役員 シニア・バイス・プレジデント チーフ・インフォメーション・オフィサー ビジネス・トランスフォーメーション/ISセンター長 長谷島眞時氏)と説明している。
不正アクセスが行なわれた要因としては、利用していたシステムのアプリケーションサーバーの脆弱性をつかれた。アプリケーションサーバーの詳細については、「セキュリティ的な観点から公表は控える」としている。また、この脆弱性は既知のものであったが、「SNEIのマネージメントはこれを認識していなかった」という。
今回の不正アクセスを受け、システム側は現在SNEIが利用しているデータセンターを、よりセキュリティレベルの高いデータセンターへの移管を前倒しで実施。新たなファイアーウォールの増設、不正アクセスに対するソフトウェアの自動的なプロセス監視機能と環境設定項目の管理機能の強化、データ保護と暗号化のレベル強化、PSN/QRIOCITYネットワークへの不明なソフトウェアの侵入、不正アクセス、不審行為に対する見地能力の向上を図る。
さらにチーフ・インフォメーション・セキュリティ・オフィサー職を新設し、CIOである長谷島氏に直接レポートをあげる。
サービス再開前には、PS3のシステムソフトウェアをバージョンアップし、PLAYSTATION NETWORKのアカウントを持つ全ユーザーに対してパスワードの変更を実施する。
顧客への対応としては、すでに26日(同27日)から実施している注意喚起で、アカウントに登録しているクレジットカードの引き落とし履歴などの定期的な確認、PSNで利用しているユーザーIDやパスワードを他のインターネット上のサービスで利用している場合の変更などを改めて告知強化していく。
さらに、利用者の国など地域に応じて、クレジットカード再発行を行なうユーザーに対するサポート、本人確認の認証強度を高めるアイデンティティプロテクションサービスなどの利用を無料サポートする。
また、ユーザーへのお詫びとして特定コンテンツの無料ダウンロード、定額制パッケージサービス「PLAYSTATION PLUS」の30日間無料加入と、現行会員に対しては30日間の無料提供、MUSIC UNLIMITED POWERED BY QRIOCITY(日本はサービス展開していない)会員向けに30日間無料提供を行なう。今後、さらにサービスを追加することも計画している。
個人情報の流出に対し、商品券の配布といった金銭的な補償をする計画は現行では無いという。
サービス再開は5月1日時点から1週間以内に実施し、全面的なサービス再開は5月中を目指す。
ソニーではネットワークを今後の事業の中核に据えていく方針としているが、今回の情報漏えい後もその方針に変更はない。情報管理体制をさらに強化して対応する。
「今回の事件とは直接関係があるかは不明だが、ソニーでは以前からアノニマスというハッカーグループからさまざまな攻撃を受けている。こうした犯罪行為は、ソニー1社の問題ではなく、捜査当局などの関係機関とも協力し、ネットワーク犯罪に対しては毅然とした対応を行なう」(平井副社長)とハッカーやクラッカーに対しては毅然とした態度をとっていくことを強調した。
今回の不正アクセスによる顧客へのダメージに対しては、「QRIOCITYの世界展開、PSN、NGPとネットワークが顧客体験に密接な関わりを持つものであることは確かで、ユーザーの皆さんへの信頼を再び取り戻すためには、技術面及びもう1度楽しいと評価して頂けるようなコンテンツとネットワーク商品を提供していくしかない。SONY TABLET、NGPの発売予定にも変更は一切行なわない」(平井副社長)ことも改めてアピールした。
また、今回の事件による業績への影響については、対象が広範囲に及ぶため現時点ではどの程度の影響があるのか精査できていないという。
【PC WATCH,三浦 優子】
高音質デジタル・アーカイブ・ソフトウェア「SOUNDSAVER」発売
エムアイセブンジャパンは、レコード/カセット等のアナログ音源の録音、ノイズ除去、メタ情報定義、高音質デジタル・オーディオ・ファイルへの書き出しなどを簡単に行えるBIAS製高音質デジタル・アーカイブ・ソフトウェア「SOUNDSAVER 日本語版」を5月上旬に発売する。価格は9,800円。
本製品では、レコーディング・スタジオで利用されているBIAS製マスタリング/ノイズリダクション・ソフトウェアのデジタル・オーディオ技術を採用。高い音質やノイズ除去性能を装備し、誰でもレコード/カセット・テープなどのアナログ音源のハイクオリティーなデジタル・アーカイブ化やリマスタリングが実現可能となっている。オーディオ機器の諸設定を行う「スタートページ」、録音レベルの設定を行う「接続ページ」、録音を行う「録音ページ」、ノイズを除去する「クリーン・ページ」、トラック分割/トラック名等を入力する「トラック定義ページ」、様々なデジタル・オーディオ・ファイルにする「書き出しページ」といった6ステップで構成されている。対応OSはWINDOWS XP/VISTA/7、MAC OS X。
(内山秀樹)
[マイコミジャーナル]
本製品では、レコーディング・スタジオで利用されているBIAS製マスタリング/ノイズリダクション・ソフトウェアのデジタル・オーディオ技術を採用。高い音質やノイズ除去性能を装備し、誰でもレコード/カセット・テープなどのアナログ音源のハイクオリティーなデジタル・アーカイブ化やリマスタリングが実現可能となっている。オーディオ機器の諸設定を行う「スタートページ」、録音レベルの設定を行う「接続ページ」、録音を行う「録音ページ」、ノイズを除去する「クリーン・ページ」、トラック分割/トラック名等を入力する「トラック定義ページ」、様々なデジタル・オーディオ・ファイルにする「書き出しページ」といった6ステップで構成されている。対応OSはWINDOWS XP/VISTA/7、MAC OS X。
(内山秀樹)
[マイコミジャーナル]
<ソニー>PSN不正アクセス問題 5月中にサービス全面再開 クレジットカード変更の立て替えも
ソニーの家庭用ゲーム機「プレイステーション3」のインターネットサービス「プレイステーションネットワーク(PSN)」などへの不正アクセスが発覚し、大量の個人情報が流出した恐れがある問題で、ソニーは1日、東京都内で会見し、謝罪と同時に今後の施策についても発表した。サービス復旧や補償などの施策についてまとめた。
【写真特集】不正アクセスの構図 公表された資料と会見の様子
PSNのサービスは、この日から1週間後をめどに再開を目指す。地域ごとに段階的に復旧させるといい、オンライン対戦や映像コンテンツの再生、トロフィー(ゲームの評価機能)などをこれまで通り楽しめるようにする。全面復旧は5月中旬の予定。PSNのソフトウェアのバージョンアップに伴い、復旧後の利用にはパスワードの変更が必要となる。また実質的な補償として、特定コンテンツの無料ダウンロード、定額サービスパッケージの無料加入(1カ月)などを実施する。
約1000万件にも及ぶといわれる流出した可能性のあるクレジットカード番号について、現在のところは不正利用の報告はないものの、カードの変更を希望する利用者には、発生した費用を立て替える考えがあるといい、クレジットカードで被害が出た場合は、個別に対応すると明言した。会見では「クレジットカードとは別に個人情報の流出があった可能性について、補償する考えはあるか?」との質問もあり、ソニーの平井一夫副社長は、現在のところは流出について金銭的な補償をする可能性がないことを明らかにした。また今回の件で、PSNにチャージした金額の返還を求める利用者には、規約を変えるなどして個別に対応する。
4月21日に不正アクセスが判明しながら、発表までに約1週間かかるなど情報開示の遅さについては、「PSNが大規模なシステムで、きちんと説明できる確度の高い情報を得るために情報解析に時間がかかった」と説明した。平井副社長は、今回の問題を受けてネットワークの安全管理を担当する責任者のポストを子会社に置くと示した上で、「ソニーのネットワークの信頼をもう一度勝ち取る」と言い切り、年末発売予定の携帯ゲーム機「NGP」の発売などに変更はないことを明らかにした。(毎日新聞デジタル)
【写真特集】不正アクセスの構図 公表された資料と会見の様子
PSNのサービスは、この日から1週間後をめどに再開を目指す。地域ごとに段階的に復旧させるといい、オンライン対戦や映像コンテンツの再生、トロフィー(ゲームの評価機能)などをこれまで通り楽しめるようにする。全面復旧は5月中旬の予定。PSNのソフトウェアのバージョンアップに伴い、復旧後の利用にはパスワードの変更が必要となる。また実質的な補償として、特定コンテンツの無料ダウンロード、定額サービスパッケージの無料加入(1カ月)などを実施する。
約1000万件にも及ぶといわれる流出した可能性のあるクレジットカード番号について、現在のところは不正利用の報告はないものの、カードの変更を希望する利用者には、発生した費用を立て替える考えがあるといい、クレジットカードで被害が出た場合は、個別に対応すると明言した。会見では「クレジットカードとは別に個人情報の流出があった可能性について、補償する考えはあるか?」との質問もあり、ソニーの平井一夫副社長は、現在のところは流出について金銭的な補償をする可能性がないことを明らかにした。また今回の件で、PSNにチャージした金額の返還を求める利用者には、規約を変えるなどして個別に対応する。
4月21日に不正アクセスが判明しながら、発表までに約1週間かかるなど情報開示の遅さについては、「PSNが大規模なシステムで、きちんと説明できる確度の高い情報を得るために情報解析に時間がかかった」と説明した。平井副社長は、今回の問題を受けてネットワークの安全管理を担当する責任者のポストを子会社に置くと示した上で、「ソニーのネットワークの信頼をもう一度勝ち取る」と言い切り、年末発売予定の携帯ゲーム機「NGP」の発売などに変更はないことを明らかにした。(毎日新聞デジタル)