2011年5月6日金曜日

PSN/Qriocity での情報漏洩事件

こちらの blog では震災以降初の投稿となります。非常に深刻な災害で今なお余震や放射線の影響やいかにして復興するのかという非常に重いテーマが横たわっておりますが、一歩一歩前に進むことが重要なのではないかと考えています。私が住んでいる山形県は震源域にそれなりに近かった割に被害が少なく、そういった意味では恵まれていたのかもしれません。

さて、ここにきてソニーの PlayStation Network の情報漏洩のニュースが報じられています。当初は単なるメンテナンス・運用停止ということでしたが、時が経つにつれ個人情報の漏洩の事実が明らかになり、続報でその規模が大きく膨れ上がりつつある状況にあります。

私は幸か不幸か PSN に入っていないので今回の件での影響は全くないのですが、運用が止まっている故にサービスを受けられないということ以外に非常に大きな脅威になっているようです。というのも、この件についてJPCERTコーディネーションセンターがサービス名、会社名を出して注意喚起を行っているからです。

JPCERT-AT-2011-0011 情報流出に伴う ID とパスワードの不正使用に関する注意喚起

JPCERT の注意喚起はマイクロソフトやAdobeといった、非常に広い範囲で使われデファクトスタンダード(事実上の標準)になっているもの以外では極力固有名詞を出さずに注意喚起が行われるのが通例なのですが、今回は影響範囲の大きさから冒頭から「株式会社ソニー・コンピュータエンタテインメントより」と固有名詞を出した注意喚起となっています。内容としては
ソニー・コンピュータエンタテインメント社によると、今回の不正アクセスにより、ユーザが PlayStation Network および Qriocity に登録した氏名、住所、Eメールアドレス、生年月日、パスワード、オンライン ID といった情報が流出していた可能性があるとのことです。また、同サービスにクレジットカード情報を登録していたユーザは、登録していたクレジットカードに関する情報が流出した可能性が否定できないとのことです。

同サービスに登録しているアカウント情報 (ID/Password) を他のサービスでも使用していた場合、攻撃者は不正に入手したアカウント情報を使用して、PlayStation Network および Qriocity 以外の他のサービスにログインし、サービスを不正に使用したり、そのサービスに登録されている個人情報やクレジットカード情報を窃取したりする可能性があります。
ということで、個人情報とアカウント情報、クレジットカード情報が漏洩している可能性があるという非常にショッキングな内容になっています。引用した後半の段落にも書いてありますが、アカウント情報を使いまわしていたりするとそこが突破口となって他のサービスでの不正利用を被る可能性があるということが指摘されています。

では、PSN を利用しているユーザがとらなければならない行動は何なのかということになりますが、PlayStationNetwork/Qriocity(TM)をご利用の皆様へのお詫びとお願い に書かれていますが、
PlayStation®NetworkおよびQriocity™のサービスが復旧した際は、お客様がご利用のパスワードを変更されることを強く推奨いたします。併せて、お客様がインターネット上でご利用の他のサービス等で、PlayStation®Network/Qriocity™と同じユーザーIDやパスワードを使用されている場合は、それらの変更を強くお奨めいたします。

さらに、お客様に成りすました不正ログインや不正利用を防ぐために、アカウントに登録されている情報の詳細やクレジットカードの引き落とし履歴等を定期的に確認されることを推奨いたします。(クレジットカードに関連する情報についてご不明な点等につきましては、ご利用のクレジットカード会社にお問い合わせください)
といった行動を起こすことが重要です。SCE の文章では

  1. PSN が復旧したらパスワードを変更する
  2. PSN 以外のサービスでアカウント情報を流用したらそれらを変更する
  3. クレジットカードの利用履歴をチェックする

という順番で PSN が復旧してから行動するようにも読み取ることができますが、現在は依然として PSN の復旧に目処がついていない状態である上に、アカウント情報やクレジットカード情報が漏洩している可能性が否定できないという状況ですので、これらの行動は「すべて同時並行的に」行う必要があります(もちろん PSN が復旧しないとパスワードの変更はできませんが)。

被害にあったら原因を作ったところを訴えるという考え方もあるかと思いますが、被害にあうのはユーザ自身ですので自己防衛を徹底して行うのが大切なのではないでしょうか。