|
PlayStation Network個人情報流出事件(プレイステーションネットワークこじんじょうほうりゅうしゅつじけん)とは、2011年(平成23年)4月に発生したソニーが運営するPlayStation Network(以下、PSN)における大規模な情報流出事件である。 == 事件の経過 == 2011年4月21日、PSNに大規模なアクセスエラーが生じ、サインインできない状態となった。4月23日に外部要因とみられる影響と発表されたが、実際は4月17日から4月19日にかけて受けたシステムへの不正侵入により、PSN利用者の個人情報が流出した可能性が出たためにサービスを停止したことが原因であった。 不正侵入を受けたことについては4月27日に公表されたが、1週間を空けての情報公開に、欧米からは訴訟および政治家からの質問状が飛び交わされ続けている。ソニー側の発表によれば、流出したとみられる個人情報のうち、名前や住所、生年月日などの情報は暗号化していなかったが、クレジットカード番号は暗号化していたとしている。サービス停止に伴いゲーム配信が相次いで延期されたほか、ユーザー離れを指摘するアナリストも現れた。 なお、PSNと共通のネットワークを利用しているQriocityも同様にサービス停止に追い込まれたほか、Qriocityの利用者情報も流出したことが明らかにされている〔。 ソニーは5月1日に緊急記者会見を行い、サーバーの脆弱性に対処していなかったことが不正侵入の原因であると発表し、一部コンテンツの無料配信などを「お詫び」として提供するが、現段階で金銭的な被害が認められないとしてユーザーへの一律補償については否定的な考えを示した。クレジットカード情報の流出に関しては、「(クレジットカードの情報の)項目を読みに行った形跡がない」こと、そして、FBIに捜査を依頼したことを明らかにした。 5月4日、米下院エネルギー・商業委員会小委員会が行なった公聴会に(招致されていた)ソニー幹部が欠席し、非難を浴びた。公表された回答書によると、すべての利用者7,700万人の個人情報が不正利用者から盗まれたことが明らかになった(同月3日時点ではクレジットカード情報の不正利用はないと報告している)。また、侵入を受けたサーバーからは「Anonymous(アノニマス)」というファイルが発見され、「We Are Legion(我々は軍団だ)」という文字列で構成されていた。このことや数週間前のサーバー攻撃から、ソニーは米国ハッカー集団「アノニマス」関与の可能性を示唆したが、アノニマス側はブログ上で否定した。しかしNHKの取材で、ソニーグループのコンピュータに侵入したことが明らかになった〔http://www.nhk.or.jp/gendai/kiroku/detail02_3122_1.html〕。 5月6日、ハワード・ストリンガー会長は同問題に対する謝罪文をブログ上に掲載したほか、北米のユーザーに対しては1人あたり最大100万ドルの補償制度を導入したと発表。 5月7日、5月1日時点で1週間程度としていた一部のコンテンツサービスの再開を当面延期することを決定した。 5月12日、ソニーは再開に向けて「安全性の高いサーバーへ情報を移設完了した」と発表。引き続き、暗号化の強化や新たなファイアウォールの設置作業などを行っている事も明らかにした。また、サイバー攻撃の早期発見を促す警告システムの導入なども行うという。 5月15日、PS3のアップデートを行ない、米国および欧州地域においてPSNおよびQriocityのサービスを段階的に再開すると発表した。 5月16日、ストリンガーがメディアに対しての取材に応じ「対応は迅速であった」と答えているが、英語版CNETにてこの記事を見たユーザーの評価は合計して83%がたちの悪いジョークだという評価を下している。 5月17日、米下院エネルギー・商業委員会小委員会は再度ソニーに質問状を送付した。 欧米での一部サービス再開にあたり、PS3のアップデートとパスワードの変更を必須とするしていたが、Webサイト上でのパスワードの再申請手続きにおいて、漏えいしたメールアドレスと生年月日を入力すると本人でなくても再申請が可能となる欠陥が発覚、5月18日にWebサイトでの再申請サービスを中止した(PS3からの再申請は可能)。 日本およびアジア地域の再開は近日中に行われるとアナウンスされているが、日本では経済産業省から「5月1日に対策として挙げられていた事項が遂行されていない」と再開の許可が下りていない。理由の内訳としては、ソニーがカード不正使用への監視対策を講じていないことや、日本には欧米のような補償サービスが存在しない〔ことなどが挙げられる。 6月4日、ソニー・ヨーロッパは、外部に流出したのは一部の公開情報だけで、サイト利用者の個人情報は盗まれていないとしている。AP通信によると、不正侵入したのはレバノン出身のハッカーで、外部に流出したのは放送用などの業務用機器を購入した顧客に機器の使い方を教える契約社員の氏名や顔写真、メールアドレスだけだという。ただし、これらの情報はすべてウェブサイトに公開していた。 6月6日、5月下旬からSPE等へクラッキングを行っていた集団「LulzSec」がPSNにクラッキングを試みた際に入手したPSN開発者用ネットワークのソースコードをtorrentにて公開した。 6月10日、スペイン国家警察がアノニマスの3人を逮捕したと発表。しかし、DDoS攻撃の証拠はあったもののPSNサーバのクラッキングに関わる証拠が見つからなかったため翌11日に釈放された。 6月15日、共同通信の情報公開請求に対し経済産業省が公開した資料により、相当量のデータが漏洩したことをことが明らかとなった。なお、5月1日の会見では「一部の情報が漏えいしていた可能性がある」と説明していた。これに対しSCEの広報は「ユーザIDとパスワードは個人情報ではない」と釈明している〔 PSN公式ではIDとパスワードも個人情報に含まれると書かれている〕。 6月20日、新しく提訴された訴状より、個人情報漏洩事件から2週間ほど前にソニーがセキュリティ担当部門の従業員を多数解雇していたことが明らかとなった。 9月15日、アメリカにおいて規約改正を行い、「PSNを使用し続ける場合、クラスアクションに参加しての申し立てはできない。ソニーに対して成立する可能性がある法制にサインすることもできない。」といった旨の規約が発表された〔 〕。 抄文引用元・出典: フリー百科事典『 ウィキペディア(Wikipedia)』 ■ウィキペディアで「PlayStation Network個人情報流出事件」の詳細全文を読む スポンサード リンク
|