ソニー 外部からの攻撃で情報漏洩

 ソニーの保有する個人情報約77百万人分が、外部からの侵入で漏洩しました。
 私事になりますが、このblogのカテゴリーに「情報セキュリィティ」を設けていますが、2006年5月以来の書き込みとなります。ことほど、情報セキュリィティで注目するものがなかった(私の独断ですが)ということで、久々にしかも世界中で注目される、日本の技術を代表する企業の威信が堕ちる事件が発生してしまいました。
 ソニーは、ハードの販売だけでは低コストで価格競争となっている韓国などの追い上げにたいこうすることが苦しくなり、「ソフトとハードの融合」を掲げ、ネット事業を中核とする事業展開に軸を置き換えてきていました。
 その中でのネットでの事件発生は、単なる情報漏洩と言うだけでなく、事業の軸の命取りにつながりかねない、重大事件と言えます。

 2006年以来となるこのカテゴリーの中をみると、そのころは、ウィニーによる情報漏えいが頻繁だった様です。ウィニーに限らず、遡っても漏洩事件は内部(含、委託業者)の人間による過失や故意のものが圧倒的で、2000年対応が終わって以降は多くの企業がセキュリィティに注力したことから、外部からネットを経由した情報漏洩の話は、普通以上の会社では聞かなくなっていました。
 中国による米・国防省や大手企業へのハッキングという、スケールの大きい話はありましたが。

 今回、ソニーを攻撃したのは、「Anonymous」というハッカー集団で、ソニーが、1月にPS3のロックを解除したハッカーを提訴したことへの報復から対決が始まっていたのだそうですね。
 
ハッカー集団「Anonymous」がソニーを攻撃 PS3のロック解除めぐり - ITmedia ガジェット

 ソニーがPS3のプロテクトを解除したハッカーを訴えたことに対し、ハッカー集団が報復を宣言。攻撃によりソニー傘下のサイトがいくつかダウンしている。

 「われわれは許さない。忘れない。待っていろ」――「Anonymous」と名乗るハッカー集団が、ソニーを攻撃した。同社がプレイステーション 3(PS3)のプロテクトを解除したハッカーを訴えたことへの報復だとしている。
 ソニーは1月に、PS3のロックを解除したハッカーを提訴した。iPhoneハッカーとしても知られるジョージ・ホッツ氏や、ハッカーグループFAIL0VERFLOWなどを被告として挙げている。
 Anonymousはこの訴訟を「自社製品の仕組みに関する情報を検閲するための司法システムの乱用」とし、ソニーは「情報を所有し、共有したというだけで自らの顧客を不当に扱っている」と批判している。「情報は自由だ」と主張し、「われわれは許さない。われわれは忘れない。待っていろ」と宣戦布告した。
 攻撃はある程度成功しているようで、欧州のプレイステーション公式サイトなど、ソニー傘下のいくつかのサイトがアクセスできない状態になっている。セキュリティ機関SANS Instituteは、AnonymousがDoS(サービス拒否)攻撃ソフトを使ってソニーを攻撃していると伝えている。

 Anonymousはこれまでにも、内部告発サイトWikiLeaksへのサービスを停止したクレジットカード会社を攻撃したことがある


 Anonymousは、「弱者の味方」と唱え、ウィキリークスを後方支援し、中東や北アフリカでの反政府運動を支援しているのですね。
 フェイスブックやツイッターだけじゃない! 中東・北アフリカ騒乱で体制側を追い込んだ 覆面ハッカー集団「アノニマス」の正体|ビジネスモデルの破壊者たち|ダイヤモンド・オンライン

 こういった緊迫状況の中で、ソニーの情報システム部門は対抗に負われていたことは容易に想像できるのですが、今回侵入をゆるした理由が、既知のサーバの虚弱性にパッチを当てていないことなのだそうですね。
 
ソニー7700万件情報流出、原因は「脆弱性への未対処」 : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)

<前略>
原因は「脆弱性に対処していなかったこと」

 プレイステーションネットワークへ不正アクセスを行った犯人は判明していない。数か月にわたり「Anonymous(アノニマス)」というグループに攻撃されていたが、平井氏によると「犯人がアノニマスだという証拠はみつかっていない」とのこと。アノニマスとは、ソニーを敵視しているグループで、過去にプレイステーションネットワークに対するDDos攻撃(データを集中的に送って利用不能にする攻撃)などを行っている。現時点で、不正アクセスの犯人を突き止めるのは難しそうだ。
 不正アクセスの手口は、調査の結果、判明している。根本的な原因は、アプリケーションサーバーの脆弱性に対処していなかったことにある。脆弱性とは、外部からの不正なアクセスなどによって不正に利用できてしまう問題点・欠陥のこと。プレイステーションネットワークでは、アプリケーションサーバーと呼ばれるプログラムに既知の脆弱性があった。ここを犯人に突かれて侵入されている。ソニーが発表した侵入経路をまとめる。
・まず犯人はアプリケーションサーバーの脆弱性を突き、通信ツールをプレイステーションネットワーク内に不正に導入(裏口の確保)
・設置した通信ツールによって、個人情報が保管されているデータベースサーバーへのアクセス情報を入手
・アクセス情報を使って、外部からデータベースに不正アクセス。個人情報をダウンロード

という流れのようだ。ファイアウオールやIPS(侵入防止システム)はあったものの、それを通り抜けている。これについてソニーの業務執行役員・長谷島眞時氏は「正規の通信として、入って出てくる方法で脆弱性を突かれている。そのため不正アクセスとして検知できなった」と述べている。

 
最大の問題は、脆弱性に対処していなかったことにある。一般的に対処は難しく、わかっていても直すためのプログラムがなかったり、システムの更新ができなかったりなどの問題で対処できないこともある。しかし、長谷島氏によると「わかっていて更新できなかったのではなく、脆弱性に対処していなかった」とのこと。つまり放置していたことになる。巨大なネットワークを運営しているのにもかかわらず、脆弱性に対処していなかったのはお粗末と言えるだろう。


 「既知のサーバー脆弱性が原因」、ソニーが個人情報漏えい問題で経緯を説明 - ニュース:ITpro

 繰り返しますが、Anonymousと戦闘の最中に、このお粗末さです。しかも、その責任を、サーバー管理の米国の関連会社の役員のせいに押し付けようとしていると受け取れる発言も見られます。これは、本社が責任を問われる問題しょう。

 かつて情報漏洩が頻発し始めたころ、ソフトバンクなどが500円とか、1,000円の商品券をお詫びとして配布し相場が出来た時期がありましたが、今回は使用料の無料化で対応するのだそうですね。
 しかし、訴訟大国の米国ですから、多くの訴訟は覚悟せねばならないでしょうね。
 
 トヨタが、みごとに汚名をそそぎ信用回復の方向になってきています。
 こんかいは、範囲が広く対応も大変でしょうが、ソニーの皆様の奮闘で、日本の製造業への信頼が傷つくことが避けられ、事故後の処理で、やっぱり日本企業は信用できると言われるような幕引きがなされることを願っています。


b0055292_21202316.jpg


今日は何の日

↓よろしかったら、お願いします。


写真素材 PIXTA


Fotolia

[PR]
by yuji_oga | 2011-05-02 21:22 | 情報セキュリィティ | Trackback
トラックバックURL : https://yujioga.exblog.jp/tb/15421105
トラックバックする(会員専用) [ヘルプ]
<< 政府はTPP参加を先伸ばしすべ... 津波被害で漂流するガレキは太平... >>