ソニー 2010年3月に発覚した個人情報流出事件を振り返る

  • このエントリーをはてなブックマークに追加
  • このエントリーをはてなブックマークに追加

2011年に4月に発生したソニーの情報流出事件は、解決までかなりの時間を要しているようだが、ソニーは伝統的にネットワークのセキュリティが甘い。
2010年3月4日にプレイステーション2を100万台発売するとして当時話題になったが、この事前予約でも情報流出騒ぎがあった。事前予約はプレイステーションドットコム(http://www.jp.playstation.com/)というサイトで受け付けていたが、このサイトのセキュリティがかなり弱かった。

2010年2月18日0時より予約を開始するということで、多くのユーザーがその1時間ほど前からこのサイトに殺到した。
このサイトは無意味にFlashを多用した、当時重いけどかっこいい(と思われていた)デザインを採用していた。大量のアクセスが見込まれる予約開始時も同様の無駄に重いデザイン、今で言えば、自動的にフルHDの動画再生が始まるようなデザインをそのまま維持しており、なんとか予約サイトに繋がっても、予約が完了したかどうかも怪しい状況だった。
当時の記事によれば、最初の1分間に10万ヒット、ピーク時は1分間に40万から50万ヒットだというので、おそらく1分間に数万PVあったのだろう。今では大規模なサイトでは普通の数字ながら、当時はかなりのアクセスだった。

ところで、この予約開始日にWebサイトが異様に重くなると言うのは、それから10年たった2010年代に入ってもVAIO予約開始時などで伝統的に受け継がれている。これはソニーのお家芸と言えるだろう。

2010年2月18日の予約開始数時間後に送られたお詫びメール

xxxx 様、

PlayStation.com(Japan)サイトのオープンに際し、
大変大勢のお客様からアクセスが集中いたしましたため、
サイトの入り口が非常に混雑して入りにくい状態になって
おりますことをお詫び申し上げます。

18日午前2時現在サイトは、再開しておりお客さまからの
アクセスが可能となっておりますが、引き続きサイトが混在
しておりますので、しばらくたってからのアクセスをお願い
申し上げます。

お客さまには、ご迷惑をお掛けいたしておりますが、今しば
らくお待ちいただきますようお願い申し上げます。

プレイステーション・ドットコム・ジャパン

予約が完了したユーザーには2日後くらいにこのようなメールが送られた。

この度はPlayStation.com(Japan)のショッピングサイトをご利用頂き、
誠にありがとうございます。

お客様のご注文を下記ご利用ID、注文番号として承りました。

ご利用ID:[メールアドレス]
注文番号:[数字]

商品発送時には、発送のお知らせをメールにてご案内させていただきます。

ご購入商品の詳細につきましては

http://www.jp.playstation.com/

にログイン後、購入履歴をご参照ください。

ご不明な点がございましたら「ご利用ID」、「注文番号」をご確認の上
「サポートセンター」までお問い合わせください。
ご利用ありがとうございました。

【サポートセンター】

http://www.jp.playstation.com/index_s.html

電話:03−5500−9955

問題はこの数字6桁くらいの予約番号だ。自分の予約ができているかどうかを確認するためにサイトに入り、自分のIDやパスワードでログインし、予約状況を確認すると、この予約番号が含まれたURLがブラウザに表示された。
ためしにこの予約番号部分だけを少し変更してみると、他人の予約が表示されるという状態だった。
当時の記事

この問題をソニーがユーザーに公表したのが3月2日頃送られたこのメール。

2000年3月2日

xxxx 様

 プレイステーション・ドットコム・ジャパン株式会社
          

お客様情報への不正アクセスの件

 拝啓 プレイステーション・ドットコム・ジャパンのショッピングサイト
をご利用頂き、まことにありがとうございます。
 さて、当社サイト(www.jp.playstation.com)において、お客様よりご提
供いただいた情報の一部に不正アクセスが発生した件ですが、当社にて調査
したところ、お預かりしているデータに関しては、一部のお客様を除いて問
題が無いことが判明致しました。

 不正なアクセスが発生した可能性のあるお客様には、別途個別にメールと
お電話で、事実のご報告と、お詫びを申し上げております。

 また、万が一不正アクセスを受けた場合でも、その内容は、お客様のお名
前お届先住所などの商品の配送に関するデータのみであり、クレジットカー
ド番号あるいはお客様の電話番号などのデータに不正なアクセスがなされて
いないことが確認されております。

 お客様には、たいへんご迷惑をおかけしておりますが、当社としてこの件
に関しては、以下の通りの対処を行っておりますので、何とぞご理解を頂き
たく、ご報告申し上げます。
 
 3月1日 17時頃に、当社のウエブサイト上で問題の存在を認識し、日本
アイ・ビー・エム社の施設内のサーバーにおいて、他人の受注番号を使用し
ての不正なアクセスがなされた痕跡を確認いたしました。

 当社では、日本アイ・ビー・エム株式会社と協力し、17時22分にこの
方法によるアクセスを防ぐ措置をとり、既に不正アクセスは防止されており
ます。その後、直ちに合同の対策本部を設置し、共同で不正にアクセスされ
たお客様のデータおよび不正アクセス者の特定およびシステム全体のセキュ
リティの再検証を指示しました。

 まず、20時にアクセスログ収集のための解析プログラムの作成を開始し、
3月2日午前0時から、2月18日のサイトオープンから3月1日に到る全
アクセスログの収集および不正アクセスログの洗い出しを開始しました。本
作業は5時に完了し、その結果不正アクセスの対象となったお客様の総数と
不正アクセス者の総数の絞りこみが完了しました。その後引き続き不正アク
セスログから不正アクセスユーザーの洗い出しに着手しました。

 一方、システム全体のセキュリティの再検証に関しては、3月2日 午前
3時に日米専門検証チームによるインフラおよびアプリケーションに到る全
システムのハッキングコンサルティングを開始し、セキュリティホールの総
点検を実施、8時30分に検証を終了しました。更に別途アプリケーション
ソフトのロジック解析を実施し、論理検証が6時30分に終了しました。こ
こで、今回の問題が、お届先データを取り扱うアプリケーションの不備によ
るセキュリティホールであることが確認されました。

 その後、15時に不正アクセスされたお客様および不正アクセス者の特定
作業を終了し、不正アクセスの可能性があるお客様への事実の通知とお詫び
のご連絡をしております。
また、不正アクセス者への対応の検討も開始しています。

 ご迷惑をお掛けいたしましたお客様には、深くお詫び申し上げます。
 今後は、一層のセキュリティ強化に向けて努力を続けてまいりますので、
プレイステーション・ドットコム・ジャパンのショッピングサイトを、
よろしくお願い申し上げます。

敬具

○本件に関する問い合わせ先
          プレイステーション・ドットコム・サポートセンター
                      03−5500−9955

この件で、不正アクセスをしたと思われる者に送られたメール。

2000年3月7日

xxxx 様
プレイステーション・ドットコム・ジャパン株式会社

前略

いつも、プレイステーション・ドットコム・ジャパンのショッピングサイト
をご利用頂きありがとうございます。さて、過日当社のサイトで発生いたし
ました「お客様情報への不正アクセス」に関して、当社にてアクセスログな
どのデータを検証した結果、お客様のID番号を使用しての不正アクセスが
発生していたことが判明致しました。

このような行為は、当社のID登録者サービス利用規約の第7条において
「禁止事項」の対象となり同じくID登録者利用規約の第6条にて
「本サービスの利用停止」あるいは「登録IDの抹消」の対象となります。
しかし、今回は当社サイトのセキュリティの弱さをご指摘頂き、ご検証され
た内容をご報告頂いた例もありますので、今回は事実のみを報告させて頂き
ます。

なお、もしお客様の元に当社サイトの検証の課程で得られたデータが保存さ
れている場合は、速やかにそのデータを破棄していただきたく、お願い申し
あげます。

今回のメールの内容に関して、万が一「覚えが無い」などのご質問がござい
ましたらば、恐れ入りますが当社サポートセンターまでご連絡をお願いしま
す。

早々

この件で刑事事件などまでに発展した者はいなかったようで、情報流出に関するお詫びもメールなどによるものだけだった模様。

コメントを残す