ソニーは2011年5月1日、ネットサービス利用者のアカウント情報などが漏えいした問題について記者会見し、システムのファイアーウォールが破られていたことを明らかにした。同社では、認識が甘かったことを認めており、今後、情報管理のあり方が厳しく問われそうだ。
ソニーがプレイステーション向けオンラインサービス「PlayStation Network」と「Qriocity」に対して、不正アクセスがあったと発表したのは2011年4月27日。それから4日経って行われた記者会見には、平井一夫ソニー・コンピュータエンタテインメント社長、長谷島眞時・業務執行役員、神戸司郎・業務執行役員が出席した。
クレカ暗号化で「不正使用ない」
これまでの経過については、米国で4月19日(日本時間20日)、サーバーに異常な動きを確認したとして、調査を開始。翌20日(同21日)には、17日から19日にかけて不正アクセスがあったことがわかった。そして、ITセキュリティ専門会社に依頼するなどして実態の把握に着手し、27日には「サイバーテロ行為が行われた」(平井社長)と判断。個人情報が漏えいした可能性があるとして、web上で報告した。
不正アクセスについては、システムが、ウェブサーバ、アプリケーションサーバ、データベースサーバの3層の構造になっており、ファイアーウォールと呼ばれる外部からの侵入を防ぐシステムがあったにもかかわらず、アプリケーションサーバの脆弱性をついて不正に侵入。長谷島氏は「かなり巧妙な、高度な技術をもった侵入だったことが徐々にわかってきた」と述べ、米連邦捜査局(FBI)にも、捜査の依頼をしたことを明かした。
また、27日の発表では、漏えいしたとみられるアカウント情報に住所・氏名、パスワード/オンラインIDのほか、不正アクセス者がクレジットカード情報(セキュリティコードを除くクレジットカード番号、有効期限に関する情報)を入手した可能性を「完全に否定することはできない」としていた。
平井社長はこれに対して、クレジットカード登録者は約1000万人いるとしたうえで、「漏えいした証拠はない(ので可能性があるとしか言えない)が、今のところ不正使用があったという報告は受けていない」。長谷島氏もクレジットカード情報については「クレジットカード情報は暗号化されているうえ、データベースを読みにいった形跡がない」と説明した。
対応の遅れに海外から批判
もっとも、ソニーの情報漏えいについては、判明から発表まで約1週間かかり、対応の遅れに対してとりわけ海外からの批判が出ていた。
ロイター通信は「日本企業によくみられる経営階層や会議の長さを考えれば、1週間はそんなに遅くはない。しかし、個人情報が流れた人にとっては、当然のことながら1週間は遅すぎる」とする米テンプル大学教授のコメントを載せた。また、米下院エネルギー・商業委員会は4月29日、ソニーに対して、流出の経緯についての説明を求める質問状を送付している。
発表まで時間を要したことについて、平井社長は「被害が拡大しないようにまずはサービスを停止させた。その後、調査会社とともに解析する作業に入ったが、(データが)膨大な量で、想定していた以上の時間がかかった。また顧客に対して、ある程度、確度ができた時点で伝えたかった」と説明。ただ、26日にソニーは新製品の記者発表会を都内で行っているが、同氏は「26日の段階では(不正アクセスの)認識はあったが、分析、解析の作業中だった。その段階では、確度のある情報を伝える状態になかった」と語った。
また、情報セキュリティの問題で、業務執行役員の神戸氏は「全世界のセキュリティーチームでさまざまな対策を講じ、管理体制を行ってきたつもりだったが、もしかしたら向上の余地があったかもしれない。そういう意味で甘かったのではと言われれば、認めざるを得ない」と陳謝。同じ業務執行役員の長谷島氏は今後について、不正アクセスへの対応の仕方を抜本的に見直し、再発を防止すると弁明に追われた。