ソニーとSCEI、PlayStation Network/Qriocity不正アクセス問題に関する説明会を開催

平井一夫氏「誠に申し訳ございませんでした」


5月1日 発表

会場:ソニー本社



説明会冒頭、深々と頭を下げた出席者(中央が平井一夫氏)

 ソニー株式会社および株式会社ソニー・コンピュータエンタテインメント(SCEI)は、PlayStation Network(PSN)およびQriocityにおいて不正アクセスが発生、情報の流出の可能性があった件について説明会をソニー本社において開催した。

 説明会では調査状況、情報管理体制、顧客への対応、サービス再開スケジュールについてなどが発表され、同時に質疑応答も実施された。SCEI代表取締役社長 兼 グループCEO、ソニー 代表執行役副社長 コンスーマープロダクツ&サービスグループ プレジデントを務める平井一夫氏は会見第一声として「ユーザーの皆様には多大な不安とご迷惑をおかけしておりますことを、深くお詫び申し上げます。誠に申し訳ございませんでした」と深々と頭を下げた。

■ データ漏洩の経緯について

 今回の不正アクセスの経緯は、PSNのデータセンターがある米国・サンフランシスコ州サンディエゴのSony Network Entertainment International(SNEI)において現地時間の4月19日、PSNのサーバーで異常な動きを確認し調査を開始したところ、17日から19日にかけ不正アクセスがあったことが判明した。この時点で、PSN/Qriocityのサーバーを停止。IT情報セキュリティ専門会社に依頼し調査を開始。4 月24日にはさらに別の解析調査会社にも依頼し高度な解析に着手。26日に個人情報の漏洩の可能性が確認されたためWEBでの注意喚起を行なったという。

 現時点で漏洩の可能性がある個人情報は氏名、住所、Eメールアドレス、生年月日、性別、ログインパスワード、PlayStation NetworkオンラインIDとなっており、さらに証拠はないが漏洩の可能性もある項目として、購入履歴を含むプロフィールデータ、請求先住所、パスワード再設定用の質問、クレジットカードの番号と有効期限などが挙げられている。クレジットカード番号については、3桁から4桁のセキュリティコードの漏洩はないとしている。

 平井氏は説明会の中でなんどか、現状調査中で事実確認が進められており、漏洩についてまだ確定した情報ではなく可能性がある段階であり、今後も継続して調査を行ないタイムリーな段階で情報を開示していくと強調。この中で、「漏洩した可能性もある個人情報」と「証拠はないが漏洩の可能性もある」の違いについてだが、「証拠はないが漏洩の可能性もある」というクレジットカード番号については、暗号化されていること、またクレジットカードの情報が記録されているデータベースに読みに行った形跡がないことなどを挙げ、漏洩の可能性が低いために切り分けて発表したとしている。


今回の件について、システム侵入経路の説明。

 今回のデータ漏洩については、ファイヤーウォールの問題ではなく、正常なトランザクション処理を装いコマンドを仕込んだデータをサーバーに侵入させ、アプリケーションサーバーの脆弱性を利用し不正にツールを導入、侵入経路を確立した。データベースへの攻撃によりアクセス権限を入手しデータベースサーバーに不正アクセスを行なった。アプリケーションサーバーの脆弱性については既知のものであり、単にSNEI担当者が認識していなかったため今回のように不正アクセスを許してしまったのだという。

 流出した可能性のあるのは7,700万アカウント。ただし、クレジットカードの漏洩した可能性があるのは最大1,000万件という。これはプリペイドカードなどで購入しクレジットカードの登録をしていないユーザーもいるため。同社によれば、現状はクレジットカードの不正使用、アカウントの漏洩を示す事件、問い合わせは行なわれていないという。

 また、米国の下院から届いている質問状に対しては解答・対応するとしており、すでにFBIに対して捜査の依頼を行なっているとしている。ちなみに他の国や地域においても捜査への調査協力依頼が来ているとしているが、現在日本の警視庁からの問い合わせは把握していないという。

■ 今後の対応について

 安全管理処置としては、システムセキュリティレベルの高いデータセンターへの移管を計画より前倒しで実施。不正アクセスに対する自動的なプロセス監視機能と環境設定項目の管理機能の強化、データ保護と暗号化のレベル強化、PSN/Qriocity不正アクセス、不審行為の検知能力の向上、新たなファイヤーウォールの増設などを実施する。このほかにも情報セキュリティ全般を管轄し管理するポストの新設、体制の強化などを行なうとしている。

 サービスの今後の予定としては、国や地域によって違いはあるが、1週間程度でプレイステーション 3、PSPでのオンライン対戦、PSNへのログイン認証が必要なタイトルおよびダウンロードされたタイトルのゲームプレイ、PlayStation Plus の各機能、PlayStation Home、チャット機能、ビデオ配信サービスでダウンロード済みのレンタル映像コンテンツのPS3/PSP/MediaGoでの再生、「Video On Demand powered by Qriocity」でレンタルした映像コンテンツへのアクセスなどを再開する予定だという。これに先駆け、PS3のファームウェアのアップデートを実施すると同時に、PSNのアカウントを持つ全ユーザーに対してパスワードの変更を実施する。これ以外のサービスも含めたPSN/Qriocityのサービスの全面再開については、5月中を目指すという。

 各国において調査などの過程から早期再開が難しい場合も想定されるが、これについては「(捜査などに)協力する」としながらも、基本的には上記スケジュールで順次再開を目指すとしている。

 ユーザーに対する対応については、サービスを停止したことに対してお詫びの意味も込め、特定コンテンツの無料ダウンロード、定額制サービスパッケージ「PlayStation Plus」の30日間無料加入、および現行会員に向け30日間無料で提供、「Music Unlimited powered by Qriocity」会員に向けに30日間無料で提供などを行なう予定であるほか、各国によって様々な対応を行なっていくとしている。

 さらに同社はクレジットカードなどの被害があった場合、クレジットカードの再発行時にかかる手数料の負担など各種保証に関しても検討中だとしている。ただしこれは被害があった場合で、それ以外の「情報漏洩があったこと」に対して全ユーザーに一律に保証を行なうかどうかについては言明しなかった。

  19日の不正アクセスの発覚から情報の公開まで1週間程度かかったことについては「調査を行ない正確な情報を公開するため必要な時間だった」と説明。ソニーは26日に「IT Mobile Meeting」を開催し、新端末「Sony Tablet」2機種を発表したが、PSNのサービスについては触れずじまい。この時点で不正アクセスについて認識はしていたわけで、なぜ発表しなかったのかといった点についても、前述の通り調査による状況把握と、今後の方針決定のために発表を見送ったとしている。

 経営責任について聞かれた平井氏は「今回の件で短期的にしなければならないこと、長期的にしなければならないことがそれぞれあるが、お客様から信頼をもう1度勝ち取ることが必要で、全社一丸となって取り組み、技術的に評価いただけるサービス、ネットワーク商品を出していくのが大切と思っている」と語った。また、ハッカーなどに対する対応については「プレイステーションのビジネスモデルは、著作権保護などを行ない、コンテンツクリエイターの皆様により面白いタイトルやサービスを安心して生み出してもらわなければならない。ビデオゲーム業界を壊してしまうハッキング、サイバーテロに関しては毅然とした態度で挑んでいく」と続けた。

 一方で、説明会に同席したソニー 業務執行役員 シニア・バイス・プレジデント 広報・CSR担当 広報センター長 神戸司郎氏は「こういった問題は、ソニー一社による対応は無理があるかもしれない。ハッキングなどに対してソニーとしても徹底的にやっていくが、司法などとも話をして社会的に真剣に考えていきたい」とより大きな問題であるとの考えを示している。


ソニー・コンピュータエンタテインメント代表取締役社長 兼 グループCEO、ソニー 代表執行役副社長 コンスーマープロダクツ&サービスグループ プレジデント 平井一夫氏ソニー 業務執行役員 シニア・バイス・プレジデント 広報・CSR担当 広報センター長 神戸司郎氏ソニー 業務執行役員 シニア・バイス・プレジデント チーフ・インフォメーション・オフィサー ビジネス・トランスフォーメーション/ISセンター長 長谷島眞時氏。

【説明会におけるスライド】

(2011年 5月 1日)

[Reported by 船津稔]