甘かったセキュリティー管理
クレジットカード情報の漏洩はない?
ソニーが公開した侵入経路についての概略図
今回の不正アクセス事件では、約7700万ユーザー分もの大量の個人情報が流出した可能性があるという大規模な事件となった。さらに氏名や住所だけでなく、サービスのパスワードも漏洩した可能性があるほか、ユーザーのクレジットカード情報まで、「漏洩した証拠はないが、可能性は否定できない」とされたことにより、事態はさらに深刻なこととなっている。クレジットカード情報を登録していたユーザーアカウントは、全世界で1000万ユーザーほどという。
侵入の経緯について、平井氏とともに説明したソニー業務執行役員 チーフインフォメーションオフィサーである長谷島 眞時氏は、以下のように説明した。まずPSNおよびQriocityの両サービスは、上図のような三段構成のサーバー群で構成されている。今回攻撃されたのは、中段に位置するアプリケーションサーバーである。
既知の脆弱性をついた攻撃により、攻撃者はアプリケーションサーバー内に侵入。ファイアウォールを超えて外部とアプリケーションサーバーをつなぐトンネルプロセスを実行した。この侵入が17日に行なわれたと思われる。アプリケーションサーバーに侵入した攻撃者は、その後データベースサーバーに保存されたユーザーの個人情報にアクセスしたとされる。
ただし、攻撃者によって約7700万ユーザーのアカウントのうち、実際にどれだけの情報が不正アクセスされたのかについては、現時点でもまだ調査中とのこと。つまり、約7700万ユーザーという数字と漏洩可能性のある情報のリストは、ワーストケースを想定したものと言える。
一方で、クレジットカード情報がなぜ「漏洩した証拠はないが可能性のある」とされているのかについて長谷島氏は、データベース自体が漏洩可能性のある個人情報と分離されていたほか、データ自体が暗号化されていたこと、攻撃者による当該データベースレコードに対するアクセスの形跡がないことを説明した。つまり、攻撃者がクレジットカード情報を読み出した形跡はないものの、アクセスログを改ざんして形跡を削除している可能性はまだ残っているために、可能性があるとしているわけだ。
一方で、PSN/Qriocityのログインパスワードが漏洩した可能性が高いとされているのは、パスワード情報がハッシュ化(別の値への変換)はされているものの、データベース自体は住所氏名と同様にアクセスされた形跡があるためと思われる。暗号化のレベル自体も異なる可能性があり、容易に解析されうる程度だった可能性も考えられる。
大規模システムに存在する脆弱性とその修正については、運用中のシステムやサービスに与える影響を検証したうえでの修正が求められる。そのため、脆弱性発覚後ただちに修正するというのは、現実的には難しい面もある。しかし長谷島氏の発言によると、両サービスを管理するSony Network Entertainment International社(SNEI)では、攻撃に使われた脆弱性を認識していなかったとしている。経緯はどうあれ、大量の個人情報漏洩につながる脆弱性に対する対策を怠っていた点については、非難を免れない。
また、攻撃者が4月17日に侵入を果たしてトンネルプロセスをアプリケーションサーバー内で動作させてから、発覚まで2日間を要した点も問題となる。サーバー内で不正なプロセスが実行される可能性を考慮した、検知システムが不十分であったことが発覚を遅らせた可能性があるためだ。
今回の攻撃について長谷島氏は、「ファイアウォールでは検知できない、正規のトランザクションとして侵入した」「(この種の不正アクセスは)経験がなかった」と述べており、SNEIが導入していたセキュリティー対策では検知できなかったとしている。
事件を受けてソニーおよびSNEIでは、情報セキュリティーを担当するチーフインフォメーションセキュリティーオフィサー職を設置し、セキュリティー対策をさらに強化するとしている。またデータセンター自体のセキュリティー対策についても、事件とは別に予定されていたデータセンターの移転を前倒しで実施。サーバー側でのプロセス監視機能や、環境設定項目の管理機能強化を打ち出している。またデータベースの暗号化レベルを強化するほか、新しいファイアウォールを増設するという。
