引き続きソニーの PSN / Qriocity / SOE 情報漏洩事件について。ソニーは米下院の公聴会への出席を拒否しましたが、文書で照会に答えています。回答は平井副社長 兼 米ソニー・コンピュータエンタテインメント会長 平井氏の名義で全8ページ。署名を除く実質7ページのうち約2ページが概要の説明とソニーの対応に充てられ、残り5ページが13項目の質問への回答で占められています。

回答のうちもっとも長いのは「4. なぜ消費者への告知に時間がかかったのか」に対する1ページ超、逆に短いのは「7. 情報漏洩の犯人またはグループは特定したのか」に対する「No.」。1日の国内会見から新情報が追加された部分、詳細があきらかになった部分を中心に抜粋します。なお、侵入された SOEのサーバから犯行声明じみたファイルが見つかった話は前の記事を参照してください。

ハイライトは:
  • 侵入と外部への情報送信を認識したのは4月20日。ただし中身はこの時点で不明。
  • 情報漏洩の公表が26日になったのは、より確実な情報を伝えるため。
    「ソニー・ネットワークエンタテインメント アメリカは調査の過程を通じて、部分的もしくは未確定の情報を消費者に開示することで、混乱や不必要な行動を招くことを強く警戒しました。」
  • 世界で7700万アカウントすべてから個人情報が取得された。データベースからの読み出しと、それに対応して外部への大きなデータ送信があった。
  • 登録されたカード情報は世界で1230万件。データベースへのアクセスと送信は把握していないが、外部に漏洩していないとも断定できない。
  • 分析により、ソニーは「極めて注意深く計画され、非常にプロフェッショナルな、高度に洗練された違法サイバー攻撃の犠牲になったことがますます確実になっている。」
    (1日の国内会見では「攻撃されたのは既知の脆弱性でした」「世の中では知られていましたが、担当者が理解していなかった」)
    犯人は分からない。
といったところ。続いて各項目の抜粋メモを掲載しています。・今回のサイバー攻撃に対する原則について。
PSN とQriocity を運営する SNEA (Sony Network Entertainment America) は、ソニーにとって大きな費用負担となるにもかかわらず、侵入を検知するやいなや当該システムをすみやかに停止させ、セキュリティ強化のために必要な変更が完了するまで再開しないという、ほとんど前例のない手段をとった。誤るとしても用心し過ぎる方向に誤ることを判断基準とすべく心がけた。
侵入の発見が遅れた理由は、1. 手法が洗練されていたこと、2. システムソフトウェアの脆弱性を突いたものだったこと。3. セキュリティチームは Anonymous による DoS攻撃からの防御に忙殺されていたこと。

DoS攻撃への参加者が侵入の共犯なのか、そうとは知らずに先棒を担がされていたのかは分からない。しかし、認識の有無にかかわらず、DoS攻撃への参加者はソニーだけでなく消費者も犠牲にする窃盗犯を助けていたことを理解すべきである。


1. 侵入に気付いたのはいつか。

(以下すべて米国太平洋時間)
4月19日午後4時15分、SNEAチームがサーバの不自然な挙動に気付いた。一部のシステムが想定されていないタイミングで再起動するなど。この時点ではシステムに問題があるのかどうか、ログや情報を評価を開始。

4月20日の午後早々、SNEAは不正な侵入と、なんらかのデータがPSNから不正に送信されたことを示す証拠を発見。転送されたデータの種類は判明せず。PSNのシステムを停止。(編注:この時点では、「ネットワークに障害が発生しております」と発表。)

2. 情報漏洩に気付いたのはいつか。

(上記)

3. 関係当局に通知したのはいつか。
4月22日に、SCEAの法務からFBIへ侵入について連絡。外部のフォレンジック専門家はこの時点で侵入による影響範囲をまだ把握できていなかった。FBI に詳細情報を提供するためのミーティングを27日に設定。
4月26日に侵入と漏洩について一般に発表。同時に各州の当局に順次通知。

4. なぜ消費者に情報漏洩を告知するまで時間をかけたのか。

PSN / Qriocity は約130のサーバと50のソフトウェアからなり、7700万人の登録アカウントを有する複雑なネットワーク。

4月19日にサーバの不審な挙動に気付いた後、4つのサーバをオフラインにして夜まで調査した。翌20日にはより多人数のチームで調査。侵入を示す証拠を発見し、さらに6つのサーバが影響を受けた可能性を認識した。この時点で全システムの停止を決定。同日から外部のセキュリティ解析専門企業を招き、影響を受けた10サーバのミラーリングに着手。翌21日にもう一社が参加。22日午後には9サーバのミラーリングを完了。

4月23日夜までにフォレンジックチームが解析したのは、侵入者は洗練されたアグレッシブなテクニックで不正なアクセスを獲得し、システム管理者から存在を隠し、サーバ内での権限を昇格させたこと。また痕跡を消すためログの消去を含む行動を取ったこと。ここでさらに解析を専門とする企業を追加。

4月25日までに、個人情報への不正アクセス範囲を特定。しかしクレジットカード情報についてはアクセスがあったのか否か断定できず。

「調査の過程を通じて、SNEAは部分的もしくは未確定の情報を消費者に開示することで、混乱や不必要な行動を招くことを強く警戒した。」

4月26日、SNEAおよびSCEAは消費者に対して個人情報の漏洩と、クレジットカード情報の漏洩を否定できないことを公表。

5. 情報が漏洩したのは全アカウントか部分か。数字とその根拠は。

約7700万の PSN / Qriocity アカウントすべてから個人情報が盗まれた。

6. 侵入はどのように実行されたのか。

( 把握していると考えているが、公開すればソニー以外のシステムへの悪用も考えられることから、詳細の公表は差し控えたい)

7. 情報漏洩の実行者は特定できたか。

いいえ。

8. 盗まれたのはどのような情報か。またその根拠は。

データベースに照会があったのは:名前、住所 (市区町村、州、郵便番号)、国、電子メールアドレス、誕生日、PSNパスワードとログイン、PSNオンラインID (ハンドル名)。
(編注:1日の会見によれば、パスワードはハッシュを保存)

現時点では、クレジットカード会社から今回の事件によると見られるクレジットカード不正利用件数の増加は報告されていない。

9. クレジットカード情報を登録していたユーザーの数は。

世界で約1230万アカウント。米国では560万アカウント。期限内のものも期限切れも含む。

10. カード情報が盗まれた証拠はないとしつつ否定できないとする理由は。

分析からは、クレジットカード情報がPSNから送信されなかったと断定できる情報がない。それ以外の個人情報については、データベースへのクエリと、対応する大量のデータ送信があったことが判明している。クレジットカード情報については、そのようなクエリもデータ転送も把握していない。

11. 今後の情報漏洩を防ぐために講じた手段は。

(データセンタの移転や暗号化の強化、監視ツールや追加FWの導入、CISO職の設置など、1日の会見と同じ)

12. 情報セキュリティポリシーについて。

( ISO/IEC 27001 に基づき、グループ各社にポリシーを導入している。etc)

13. この事件による影響に対してどのような対応をするのか。

SNEA は顧客の個人情報保護への協力に全力で取り組んでおり、米国内のアカウント保有者に対して無料のなりすまし保護サービスを提供する。ほかの地域については各国によって異なる。

さらに、ユーザーの忍耐と協力に対する感謝を表明するため、無料サービスやコンテンツを提供する「おかえりなさいプログラム」( Welcome Back Program )を世界で実施する。内容は地域により異なる無料ダウンロードコンテンツ、プレミアムサービス PlayStation Plus の30日間無料。および Music Unlimited の30日間無料。