データセンターの引っ越しも進行中

ソニー、PSN/Qriocity情報流出の新情報を公開 − カード情報は暗号化、個人情報は暗号化せず

ファイル・ウェブ編集部
2011年04月28日
ソニーのPlayStation公式ブログ「PlayStation.Blog」(米国版)は現地時間4月27日、「PlayStation Network」(PSN)と「Qriocity」からの個人情報流出、また両サービスの障害について最新情報を報告した。

記事はQ&Aのスタイルとなっている。流出の経緯を説明している部分、成りすましや詐欺などへの注意を喚起している部分、またPSNで使っているパスワードはほかのサービス等でも変更すべきとしているところなどについては、昨日の記事と同様なので割愛する。新情報が追加されている部分について、Q&Aを抄訳して紹介する。

Q:この問題に関して法的措置を検討しているか?
A:私たちは現在、この件に関する法的措置を検討しており、テクノロジーセキュリティー会社と綿密な調査を行っている。我々のシステムと顧客に対する、悪意のある攻撃は犯罪行為で、主導者を見つけ出すために積極的に進めている。

Q:個人情報は暗号化されていたのか?
A:すべてのデータは保護されており、アクセスは物理的にも、ネットワークセキュリティの境界の上でも、厳しく制限されていた。クレジットカードデータのテーブルは暗号化されており、クレジットカードデータが盗まれた証拠は見つかっていない。個人情報のデータテーブルはまた別のデータセットに置いてあり、これは暗号化されていなかった。ただし悪意のある攻撃に対する高度なセキュリティシステムで守られていた。

Q:クレジットカードのデータは盗まれたのか?
A:我々がシステムに蓄積しているクレジットカード情報はすべて暗号化されており、現時点でクレジットカード情報が盗まれたという証拠はない。だが、盗まれたという可能性を排除することはできない。もしPSN/Qriocityにクレジットカード情報を登録しているとしたら、クレジットカード情報や有効期限などの情報(セキュリティコードを除く)が、不当な攻撃を行った者に取得された可能性を考慮し、注意して行動するよう呼びかけている。これはぜひ覚えて置いて欲しいが、CVCやCSCというセキュリティコードは、第三者に取得されていない。これは、我々がPSN/Qriocityについてこの情報を送信するよう顧客に要請したことがなく、システムにもともと情報が存在しないからだ。

Q:クレジットカードのデータを登録したか分からない場合はどうすれば良い?
A:過去にPSNのウォレットにクレジットカード情報を登録していた場合、あなたは「DoNotReply@ac.playstation.net」からの確認メールを受け取っているはずだ。このメールには、カード番号の最初の4桁、最後の4桁が記されている。また以前のクレジットカードの明細書から、PSN/Qriocityにひもづけられたカードがどれか、判断することもできる。

Q:PSNのパスワードはいつ、どうやって変更できるのか?
A:我々は、PSNが復旧した際、すべてのユーザーにパスワード変更を求める新たなシステムソフトアップデートに取り組んでいる。更新プログラムの詳細については、近日お伝えできる予定だ。

Q:PSN/Qriocityのユーザー全員に対して状況を告知したのか?
A:このブログで情報をポストしたほか、メディアを通じて警告を発した。それらに加え、我々は7,700万のアカウントすべてに直接Eメールを送っている。これほど多くのメールを送るには時間がかかり、現時点ですべてのEメールが届いているとは認識していない。だが、このプロセスはすでに昨日(米現地時間26日)から実行しており、我々は4月28日(米現地時間)までにすべての告知メールが行き渡ると考えている。

Q:ソニーは将来、個人情報を保護するためにどういうステップを取るのか?
A:我々は、個人情報保護を強化するためにいくつかの手段を講じている。まず最初に、一時的にPSNとQriocityサービスを停止している。二つ目に、我々はネットワークインフラを強化し、セキュリティを高めているところだ。またセキュリティを高めるべく、データセンターをさらに安全な場所に引っ越すこともすでに開始している。これらについての追加情報は、間もなく発表する予定だ。

Q:ソニーは、PSNに対するハッキング、個人情報の盗難をおこなったグループなどについて特定しているのか?
A:我々は現在、状況の徹底的な調査を行っている。テクノロジーセキュリティー会社と密接に動き、彼らが世界のどこにいようとも、これらの犯罪的行為の責任に対して法的措置を取るよう進めている。

Q:PSNとQriocityを復旧できるのはいつ頃になるか?
A:従業員は、可能な限り早くオペレーションを復旧できるよう、日夜を問わず働いている。我々は昨日から、いくつかのサービスについては1週間以内に立ち上げられると想定している。だが、全てのネットワーク環境の安全性が確保できてからでなければ、オペレーションを復旧するつもりがないことは明確にしておきたい。

関連記事