不正アクセス事件について説明する、ソニー代表取締役副社長の平井一夫氏
ソニーとソニー・コンピュータエンタテインメント(SCE)は5月1日、同社が提供するネットワークサービス「PlayStation Network」(PSN)とエンターテインメントコンテンツサービス「Qriocity」に対する不正アクセス・ユーザー情報流出事件についての会見を行なった。会見では判明している不正アクセスの概要と、今後の両サービスの復旧予定、ユーザーに対する補償についてが説明された。
事件の経緯について
会見冒頭で、ソニーグループのネットワークサービスを担当する代表取締役副社長の平井一夫氏は、情報漏洩を招いてユーザーに不便と心痛を与えたことを謝罪したうえで、今回の経緯と対応策について説明した。
現時点でソニー側の調査により判明している事情を簡潔に示す。まず4月19日(以降、現地時間)に、米国サンディエゴ市内にあるデータセンターにて異常が検知され、調査の結果4月17日から19日にかけて、データセンターに対する不正アクセスが発覚する。4月20日にはPSNおよびQriocityの両サービスを全面的に停止。外部のセキュリティー調査会社に依頼して、不正アクセスについての実態解明を試みる。
さらに4月24日には別の解析専門企業にも依頼して、詳細な調査を実施。4月26日には不正アクセスの事実とユーザーの個人情報が漏洩したことの発表が行なわれた(関連記事)。現時点では両サービスとも停止したままで、調査も継続されている。
個人情報が漏洩した可能性のある両サービスのアカウント数は、全世界で約7700万ユーザーにも上り、国際的な情報漏洩事件としては例のない大規模なものとなった。ソニーではこれを同社ネットワークサービスに対するサイバーテロと明言。平井氏によれば、すでに米国の連邦捜査局(FBI)に犯罪行為捜査を依頼済みという。漏洩した可能性のある個人情報と、漏洩の証拠はないが可能性がある情報は以下のとおり。
- 漏洩したとみられる個人情報
- 氏名、性別、住所(郵便番号含む)、国名、電子メールアドレス、生年月日、PSN/Qriocityログインパスワード、PSNオンラインID
- 漏洩の証拠はないが、可能性のある個人情報
- クレジットカード番号と有効期限(セキュリティーコードは含まず)、購入履歴や請求先住所を含むプロフィール、PSN/Qriocityログインパスワード照会時の質問内容
サービス再開は地域ごとに内容を限定
個人補償については被害が発覚した場合に対応
4月20日にサービスを停止して以降、両サービスともいまだ再開はされていない。今後は再開に向けては、まず不正アクセスに対するサービス側の対策が講じられている。おおまかには、不正アクセス監視機能の強化と環境設定管理の強化、データ保護と暗号化の強化、検知機能の強化が施されるとしている。
停止中の両サービスについては、近日中(会見では今後1週間以内)に地域ごとにサービスを再開するとしている。具体的には、PS3およびプレイステーション・ポータブル(PSP)によるオンライン対戦やPSNへのログインが必要なダウンロード済みゲーム・コンテンツのプレイ、PSNからダウンロードした映像コンテンツの再生、QriocityコンテンツのPS3やPSP上での再生、仮想世界サービス「PlayStation Home」のプレイ、有料会員制サービス「PlayStation Plus」の利用、PSNのアカウント管理・設定、トロフィー機能やチャット機能といったものが挙げられている。
なお、ダウンロードコンテンツの再生は「ダウンロード済みの」との記述があるほか、Qriocityコンテンツの再生についても「現行の会員限定」とある。そのため、新規のユーザー登録や新規コンテンツダウンロード、それらにともなう決済の利用については、サービスが再開されても直ちには利用できないと思われる。サービスの全面再開については、5月中とのみコメントされている。
そのほかに、両ユーザーに対しては、以下のような対応を求めている。まず、サービス再開後にプレイステーション3(PS3)のシステムソフトウェアのアップデートを行なうとともに、PSNアカウントのパスワード変更を求める。パスワード変更に際しては、ユーザーアカウントで機器認証されているPS3を使うか、登録済みメールアドレスを使用するとしている。
また、クレジットカード引き落とし履歴を確認するほか、両サービスと同じユーザー名やパスワードを使用するサービスについては、変更を求めている。一方で、ユーザーに対してソニーおよびSCEから個人情報の確認を行なうことはないため、不正な情報入手に対する注意を喚起している。
