Hatena::ブログ(Diary)

わぱのつれづれ日記 このページをアンテナに追加 RSSフィード Twitter

2008年03月28日(金) 続報

「PLAYSTATION Network 情報漏洩可能性」についてのマスコミ報道

昨日のエントリで速報的にとりあげた、PLAYSTATION Networkの不正アクセスによるパスワード改ざん、個人情報漏洩の可能性に関する問題。

PLAYSTATION Networkで不正アクセス 〜 個人情報漏洩やウォレット不正利用の可能性も - わぱのつれづれ日記

やはり、ネタが個人情報保護法などに絡むものなだけに、各種マスコミでも報道が出ていますね。いくつか、公式発表よりも情報が付加されています。


脆弱性は2007年9月のサービス開始当時から存在

まずはITmediaの記事。D+の方ではなくニュース関連を扱うITmedia Newsの方ですね。

システム上の問題は、昨年9月のPC向けサービス開始当初からあったという。同社は27日までにシステムを修復。パスワードが変更された可能性のあるユーザーに対してメールで連絡した。

「PLAYSTATION Store」に不正アクセスの可能性 ユーザーのパスワードが勝手に変更された恐れ - ITmedia News

プレスリリースでは「いつ不正アクセスが生じたか」について書かれていなかったのですが、どうやら根本的にサービス開始時から脆弱性があり、パスワード改変の危険があったということのようですね。検証が甘かったと言うことでしょうか。サービス開始時にアカウントを作りポイントをチャージしたきり、放置状態の人などは早急に確認した方が良さそうですね。


被害の可能性がある人は全世界で2万5500人〜特定はできていない?

続いて毎日新聞の記事。こちらは逆に、オタク情報向けのまんたんWebでの記事です。

 同社の調査によると、被害の可能性があった利用者を約2万5500人(うち国内は約1800人)に絞り込んだといい、メールでおわびとログインの確認を呼びかけている。27日まで、被害報告などはないという。

PS3:「PSネットワーク」で不正アクセスか、電子通貨不正利用の可能性も SCEがおわび(まんたんウェブ) - 毎日jp(毎日新聞)

被害の可能性があるのは全世界で2万5500人。問題は世界的なもののようですね。これは、アカウント登録後パスワードを改変している人の数、ということなのかもしれません。ユーザーに「ログインできるか確認して」と呼びかけているのも、いったいどれが不正アクセスによるパスワード改ざんで、どれが正規のパスワード変更だったのか、SCEとして区別が付いていないようにも見えます。

しかし、もし本当に「どれが不正アクセスなのか」ということが特定できていないのだとすると、本当に被害者がいないのかどうか、完全に確認するのは相当難しそうですよね。メールで確認の依頼を出しているとは言っても、全ての人がレスポンスし、いちいちアカウントの情報を見るとは限りませんし。今のところ被害報告はないようですが、「被害はなかった」とも言い切れない、なんともSCE的には解決しづらい問題になっているように感じます。


その他マスコミ報道

その他のマスコミで取り上げられているニュースも紹介しておきます。

PLAYSTATION Storeに脆弱性。パスワードが変更された可能性 - Broadband Watch

「PLAYSTATION Store」利用者パスワードが改竄の恐れ、該当者は約25,500人 - INTERNET Watch

SCE、PLAYSTATION Networkに不正アクセスの可能性を公表:ニュース - CNET Japan

asahi.com:ソニーのゲーム購入サイトでパスワード改変被害の恐れ - ビジネス

IT系は大体取り扱っている感じですね。一般紙では朝日も取り上げていますね。

一方で、ゲーム系メディアはこの件を取り上げていない模様。impressやITmediaもゲームのカテゴリでは紹介してませんし、ファミ通や電撃では記事が見あたりません。一応ゲーム機所有者にとっても関係のあるネタのはずなんですけどね。これらゲーム系メディアは、やはり広告媒体としての意味合いが強いのかもしれません。


便乗犯に注意が必要?

さらに、今回の件でちょっと心配なのは便乗犯です。SCEがメールで依頼している内容が「ちゃんとログインできるか確認して欲しい」というもの。これって、いわゆるフィッシング詐欺で使いやすいパターンなんですよね。今回の件で悪用を考える人が、SCEを装ってIDとパスワードを記録する偽のログインページのURLと共に「ログインの確認依頼」のスパムを送信、引っかかった人のIDとパスワードを盗んでしまうという例がある程度容易に想像されます。とりあえず、SCEから今回の件でメールが来た人も、メール内のURLなどに不審な点がないかチェックした方がいいかもしれませんね。


安心なネットワークサービスを

今回の件は、実際に大きな被害を受けたという人もまだ出てきていませんし、そこまで大きな問題にはなっていません。ただ、これがすでに大きなユーザーを抱えているXboxLiveとかで起きると大問題ですよね。PS Networkも、今後会員が増えていくわけですから、数年後にまた同じ問題をやらかしてしまうと、今度は大きな訴訟問題などにもつながりかねません。SCEだけでなく、各種オンラインサービスを提供している企業は、今回の件を反面教師としてもう一度セキュリティ見直しをかけてみてもいいんじゃないでしょうか。

泣き虫泣き虫 2008/03/28 12:26 >便乗犯

SCE_in_Japan@gmail.com みたいな。

被害者を特定できないのは大問題ですね。クレジットカードの情報が漏れた場合、請求書が来るのが場合によって2・3ヶ月後だったりするので、被害者が誰なのか分からないと何もできないですよね。いきなりストップさせる訳にもいかないし。

しかし、ゲーム関連サイトが報じないのもどうかと思うね。せめて3行ぐらいの記事でも載せたほうが…隠蔽体質がバレバレですね。(ー”ーメ)

loglog 2008/03/28 14:35 実害が発覚したからのアナウンスではなく、システムに脆弱性が見つかったからもしかするとハックされてるかもっていうアナウンスだったんですね。
これは確かに被害届が出されないと実態は掴めませんね。まぁこの場合に限らずこういうのは実害把握するのはかなり難しいと思いますが・・・。

ゲーム雑誌系のサイトが報じないのも隠蔽というよりは、頼まれない限りリソースは割かないよという感じですかね。今回の件に限らず他の問題でも載せてない感じもしますし、質がちょっと違うのかも。
ただユーザにこそ知らしめなければいけないからこそ率先的に取り上げて欲しい所ですね。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証