Engadget 日本版で、ソニーが本日午後2時から行ったPlayStation Network/Qriocityの個人情報漏洩事件について行われた記者会見を速報方式で公開していましたので、まとめてみました。【情報源:Engadget 日本版】
会見にはソニー平井一夫副社長をはじめ3名が出席しました。
今後の方針として示されたのは以下でした。
1.一部サービスの再開は一週間以内とし、全面的な復旧は5月中を予定。
2.対策としてデータセンターのリロケーションを前倒し実行、プロセス監視など不正アクセスへの対策強化、暗号化強化、ファイヤーウォールの増設、セキュリティ担当のCISO職の設置、パスワード更新を求めるPS3向けの新ファームウェアの配布
3.ユーザーへの「感謝の気持ち」として無料コンテンツや30日間無料サービスの提供
4.android3.0タブレットやNGPへの影響なし
お詫びのしるしではなく感謝の気持ちで提供されるものは
・Music Unlimited の30日無料体験
・PS Plus の30日無料体験 (既存会員には30日延長)
・特定コンテンツの無料ダウンロード
となっており、特定コンテンツの無料ダウンロード以外は、残念ながらサービスの顧客獲得につながる営業戦略的なものでしかありません。
会見の内容、具体的な被害は実際には把握できておらず、ニュースなどで大きく取り上げられたの個人情報7700万やクレジットカード情報1000万といった衝撃の数字は、流出の可能性が薄いものを含めすべてのデータが盗まれたとの前提で算出した、あくまでも可能性として発表した数字です。
実際にどの程度漏洩したかについては調査中でのため、最大数で算出すると全アカウントの7700万であり、有効クレジットカードの登録数は全世界で約1000万であるためその数字で発表したというのが過去最大の個人情報流出事件の実態です。
ユーザーとして気になる個人情報の具体的被害は以下のものです。
・ログインパスワードや氏名住所、メール、性別、誕生日などの個人情報
一番気になるクレジットカード情報については、カード番号は暗号化、パスワードは暗号化はされていないがハッシュ化はされていて、かつハッカーがデータベースへ読みに行った形跡が見つからないとの根拠を示し、クレジットカードの漏洩可能性が低いと判断しているとしています。
クレジットカード情報については会見の内容が正しいとすると、ひとまず最悪の事態には至らない可能性が出てきたと言えそうです。
また、私がブログで提案したことが(と言っても多分私が書いたからではありません)実現しそうです。
日本の公式PlayStationブログ開設をSCEJが検討することになったようです。情報公開を迅速に行うという意味では他の最新情報公開にも活用できるブログの活用は理にかなっていると思います。
会見の中では、ハッカーの攻撃による被害という繋がりからか、具体的な名前こそ挙げていないものの裁判では和解したはずのGeohot氏や、Total_Noob氏のHENなどを念頭に置いていると思われる発言がありました。諸悪の根源と言わんばかりの表現で、です。
システムを崩すようなハッキング行為、もしくは海賊版が動くような行為、たとえばPSPの改造といった行為は、ゲーム業界のもっとも基本的な部分を壊してしまう。断固とした態度をとってゆく必要があると考えている。
ルートキーについて、一概には言えないが、ビジネスのもっとも基本的な部分のIPを保護するための部分に「脆弱性を作ってしまう」行為があれば、厳しく対応してゆく。
ハードウェアのセキュリティ保護レベルは可能な限り上げて行く。ネットワーク側でも。この両側で対策する。PS3でも、本来想定していない使い方、著作権を無視するような使い方があれば強く対策してゆく。
いくらGeohot氏がハッカーとクラッカーは違うと主張してもソニーはハッカーもクラッカーも同列に扱って対処することを宣言したに等しいと言えます。PSPに関しては今のところPS3のような法的措置までには及んでいませんが、会見でPSPを例に挙げて「断固とした態度をとってゆく必要がある」としていることから、PSPでも差し止め請求と言ったニュースが出てくるかもしれません。
一応、クレカ、ID、パスワードという最重要な部分の情報の
生データとしての流出はギリギリで防いだ格好になったんでしょうかね
ハードウェアとしての対策は噂の3000番台PS3がE3で発表されるのかな?
どちらにしろ冷静な判断をした上で
犯罪行為を平気で実行するクラッカーのみを駆除して欲しいものですけど