ハッカーグループ LulzSec が、ソニー・ピクチャーズのデータベースから100万件を超える個人情報に不正アクセスを成功させたことを宣言し、うち約5万件をオンラインで公開しました。含まれるのは登録ユーザーのメールアドレス、平文パスワード、住所、誕生日、そのほかオプトインデータを含む個人情報。LulzSecはさらに、Sony Pictures のデータベースのパスワードを含むすべての管理者情報、7万5000件の " music codes "、350万件の " music coupons " (ダウンロードコード) にも不正にアクセスできたとしています。

不正アクセスに使われた手法はシンプルな SQLインジェクション。LulzSec は名前が示すように愉快犯的なグループで、みずから「大物ハッカーのふりをするつもりはない」としつつ、実際の手法がもっとも初歩的でありふれたタイプの脆弱性を突いた単純なSQLインジェクションであったこと、ひとつのインジェクションからすべてのデータにアクセスできたこと、さらにパスワードが平文保存されていたことなどを声明文で明らかにしています。

LulzSecはアクセスを得た100万件超のデータすべての持ち出しはリソースの問題から実行できなかったとしていますが、「サンプル」として公開された.rarファイルにSQLインジェクションのリンクや5万件以上の顧客情報セットが含まれていることは第三者によって確認されています。(ただし、すべてが実際のデータかどうかは確認不能)。

ソニーといえば、計一億件を超える個人情報漏洩を招いたプレイステーション・ネットワーク / Qriocity の侵入事件を受けて、グループを挙げた顧客情報保護とセキュリティ強化への取り組み、そして「サイバーテロとの戦い」を宣言したばかり。ですが、PSN / Qriocity 事件以降はむしろ以前よりもハッカーの標的となっており、日本を含む各国のソニーミュージック / Sony BMG、ソニー・エリクソン、米ソニーエレクトロニクスなどが軒並み被害にあっています。

セキュリティ企業 Sophosなどによると、こうした攻撃はいずれも単純なSQLインジェクションで、おそらくは既製のツールを使った初歩的なもの。しかしたとえばソニー・エリクソンではカナダのオンラインストアから顧客情報が盗まれ公開されるなど、客やパートナーがソニーグループに預けたセンシティブな情報が次々にPastebin に貼られたり圧縮ファイルとして出回る被害は続いています。

追記: 見出し後半を「100万件が被害」から「顧客情報がウェブに公開」に変更。LulzSec は " (...) compromised over 1,000,000 users' personal information, " と表現していますが、声明文によればSQLインジェクションでアクセス可能になった顧客情報の件数が100万以上、実際に取得した件数は不明、主張を裏付ける「サンプル」として公開したのが約5万件。どの部分を「被害」と呼ぶかは微妙なところです。

追記2: パスワードはハッシュではなく、"12345" や "password" などを含む平文のパスそのもの。