ソニーは2011年5月1日、ネットサービス利用者のアカウント情報などが漏えいした問題について記者会見し、システムのファイアーウォールが破られていたことを明らかにした。同社では、認識が甘かったことを認めており、今後、情報管理のあり方が厳しく問われそうだ。
ソニーがプレイステーション向けオンラインサービス「PlayStation Network」と「Qriocity」に対して、不正アクセスがあったと発表したのは2011年4月27日。それから4日経って行われた記者会見には、平井一夫ソニー・コンピュータエンタテインメント社長、長谷島眞時・業務執行役員、神戸司郎・業務執行役員が出席した。
クレカ暗号化で「不正使用ない」
記者会見に出席した神戸司郎氏、平井一夫社長、長谷島眞時氏(左から、5月1日都内で)
これまでの経過については、米国で4月19日(日本時間20日)、サーバーに異常な動きを確認したとして、調査を開始。翌20日(同21日)には、17日から19日にかけて不正アクセスがあったことがわかった。そして、ITセキュリティ専門会社に依頼するなどして実態の把握に着手し、27日には「サイバーテロ行為が行われた」(平井社長)と判断。個人情報が漏えいした可能性があるとして、web上で報告した。
不正アクセスについては、システムが、ウェブサーバ、アプリケーションサーバ、データベースサーバの3層の構造になっており、ファイアーウォールと呼ばれる外部からの侵入を防ぐシステムがあったにもかかわらず、アプリケーションサーバの脆弱性をついて不正に侵入。長谷島氏は「かなり巧妙な、高度な技術をもった侵入だったことが徐々にわかってきた」と述べ、米連邦捜査局(FBI)にも、捜査の依頼をしたことを明かした。
また、27日の発表では、漏えいしたとみられるアカウント情報に住所・氏名、パスワード/オンラインIDのほか、不正アクセス者がクレジットカード情報(セキュリティコードを除くクレジットカード番号、有効期限に関する情報)を入手した可能性を「完全に否定することはできない」としていた。
平井社長はこれに対して、クレジットカード登録者は約1000万人いるとしたうえで、「漏えいした証拠はない(ので可能性があるとしか言えない)が、今のところ不正使用があったという報告は受けていない」。長谷島氏もクレジットカード情報については「クレジットカード情報は暗号化されているうえ、データベースを読みにいった形跡がない」と説明した。