ソニー・ピクチャーズの情報漏洩まとめ。


スポンサードリンク


先日、大量の情報漏洩事故が発覚したソニー・ピクチャーズの件ですが
いよいよ、日本のメディアでも取り上げられ始めてきました。
以下は、NHKニュースより。

ソニー狙ったサイバー攻撃相次ぐ 米国

ソニーは8日、外部からサイバー攻撃を受けてインターネットを使ったゲームなどの配信サービスが一時的に利用できなくなったことを明らかにし、アメリカでソニーを狙ったサイバー攻撃が相次いでいます。

ソニーによりますと、インターネットを使ったゲームなどの配信サービスが外部からのサイバー攻撃を受けて一時的に利用できなくなったということです。
不具合はすでに復旧し、現在は通常どおりサービスを利用できるということです。
ソニーを巡っては先月下旬、アメリカにある映画の子会社「ソニー・ピクチャーズエンタテインメント」がサイバー攻撃の被害に遭い、劇場未公開の新作を含む映画がインターネット上に流出したほか、従業員の給料の内訳や個人情報も漏えいしたとみられています。
ソニーは2つのサイバー攻撃に関連性を示す証拠はないとしていますが、FBI=連邦捜査局が捜査に乗り出しています。
ソニーはことし8月にも同じような被害を受けており、アメリカメディアはソニーを狙う執拗なサイバー攻撃を大きく取り上げています。


上記の報道では、あたかもソニーだけがハッカーからの集中砲火を受けたという
ソニーは大変な被害者であるといった報道になっておりますが
はっきり言いますと、IT関係サービスのセキュリティに対する攻撃というのは
どこの会社でも日常茶飯時に行われていることです。


それでは、なぜ今回ソニーの件が大きく報道されているかといえば
はっきり言えば、ソニーのセキュリティがただそれだけザルであるということだけなのです。


そもそも論として、100TBもの情報を盗み出す事自体が、傍から見ればバレバレです。
何せデータ量が膨大すぎて、今現在、ネットが出せる通信速度の最速のものを
最大の効率で使えたとしても、これだけの膨大な量のファイルを盗み出すには相当な時間がかかるはずなのです。


その盗みだしている間は、当然回線のトラフィックが多くなり
他の回線速度が極端に遅くなるですとか、影響は出るはずなので
これだけの量を気付かず盗まれるほうが、ある意味すごいと言えます。
どれだけ注意力散漫なのでしょうか。


情報を扱う企業というのは、個人情報に対して非常に神経を尖らせた扱いをします。
日本でも個人情報保護法という法律が施行されて久しいですが
インターネット上で、あっという間に情報が拡散してしまう今の時代では
腫れ物に触るぐらいの意識で個人情報を扱わなければなりません。


大手のIT企業というと、マイクロソフト(ソニーから見ればPSのライバル機Xboxを出している会社ですね)は
米国防総省の次にサイバー攻撃を当たり前のように受けているという話もあります。


なぜマイクロソフトはサイバー攻撃に強いのか?
(全部は読めませんが、触りにそのことについて触れています)


また、その他のIT関連のネットワークサービスを展開しているようなところは
常にサイバー攻撃の脅威に晒されており、なんとかセキュリティを攻撃しようと
血眼になる、クラッカーと企業の防衛のイタチごっこが今も繰り広げられているのです。


そう言った攻撃が日常茶飯に行われているにも関わらず
めったにニュースにならないのは、当然セキュリティが作動しているからです。
要は企業も、重要な情報が詰まった保管庫には鍵をかけるということです。


中には、新たにリリースしたプログラムを敢えてハッカーの攻撃に晒し
脆弱性を見つけたハッカーを囲い込んで、自社のセキュリティプログラムを組ませる…
と言った話も当たり前のように行われている世界なのです。


ですので、ソニーだけが被害者なのではなくて
これらの攻撃による情報漏洩リスクはIT関連企業(またはWEBサービスを展開する企業)は常に持っているというだけの話です。
もちろん、侵入して情報を盗み出すクラッカーも悪いのですが
その脅威に晒されることを前提としてセキュリティを構築するのが当たり前の世界だと言えます。


さて、今回の大量情報漏洩事故ですが、ソニーのセキュリティがどうなっていたかと言いますと
なんと、パスワード関連の情報を「Password」フォルダに保管していたということで
あまりにもザルすぎる驚愕の内容がリークされています。

ソニーはパスワード数千個を「パスワード」というフォルダに保管していた

ITの中の人かわいそうに…今ごろ死んでるだろうな…と心底同情していたら、こんなものが出てきました。 大事なパスワード保管庫の名前が「Password」って…壁に何発か頭ぶつけてよしだよ!

どうりで昨日第2弾のデータの山がリークされたら、あっという間にBuzzfeedがFacebook、MySpace、YouTube、Twitterの「映画大作の公式アカウントのユーザー名とパスワード」を探し当ててしまったわけですよ。仕事早いと思ったらなんのことはない。「Password」っていう巨大なフォルダに入っていたんですね。

フォルダーにはもっと沢山のパスワードが入っています。「Facebookのログインパスワード」というのもあります。誰が見てもパスワード、どこから見てもパスワード。暗号化もセキュリティもなしの平文で、一般常識も小学生並みのオンライン安全対策もなし、です。


あまりのザルっぷりに、この企業には情報を扱わせてはいけないだろうというレベルです。
更に、そのパスワードも普通にアクセス出来て平文(暗号化されていない素の表記)で
書いてあったそうで、まるで外部攻撃を想定していないかのような杜撰な管理であると報道されています。


アホな喩えになってしまいますが、Hな画像を「エロ画像」という
名前のフォルダに保管しまくるぐらいにバカな話です(笑)


普通の文章を暗号化するというのは、企業レベルに限らず
一般のメールなどでも暗号化する技術はいくらでもあって
以下のサイトで文章と、パスワードを設定すると簡単に暗号文化してくれるサイトもあります。


http://www.applis.org/code/


私も一つ暗号文を作ってみました。

EU19CqnayPgqN2xidNqYQuIJ0KJ/+3a7bqxlKixkjs0=

内容が知りたい人は、上記のサイトにアクセスして
暗号化を元に戻すを選択し、ボックスの中に上記暗号をコピペした後に
パスワードに1234と入力してみてくださいね。


というわけで、こんなに簡単に暗号文を作るサイトも公開されていて
少し手間をかければ、セキュリティを強固に出来るにも関わらず
平文での保存というのは、セキュリティ関係者の常識を疑ってしまうレベルです。


更に今回の情報漏洩でまずいのは、ソニーにはPSN(プレイステーションネットワーク)の
アカウント7700万の情報漏洩という、ギネス級の漏洩を以前にやらかしているということ。


日本、海外のアカウント含めて7700万の情報が漏れるという
情報漏洩事故の規模としては、世界でみても前例が無いほどの情報漏洩事故を3年前に起こしています。
つまり、前科があるというわけです。

ホットストック:ソニー<6758.T>売り先行、PSNユーザー7700万人の個人情報流出

傘下の米ソニー・エレクトロニクスで、据置型ゲーム機「プレイステーション」ネットワークへの不正アクセスにより、ユーザー約7700万人の個人情報が流出したことが明らかになり嫌気されている。

 ソニー・エレクトロニクスによると、「権限を持たない人物」がプレイステーション・ネットワーク(PSN)ユーザーの名前、住所、電子メールアドレス、誕生日、ユーザー名、パスワード、ログイン情報などを入手した。同社は、クレジットカードの情報が流出した証拠はないとしつつも、可能性は排除できないとしてユーザーに詐欺への警戒を呼び掛けている。


この大規模情報漏洩事故は、世界中で騒動になり
当のソニーには厳しい罰金や、今後のセキュリティに対する
強化を各所から命じられ、実際に再発防止に務めるという声明もソニーから出しているわけです。


PSNだけでなく、様々なところで情報漏洩をちょくちょくしてしまっている
ソニーですので、今回の件で前回の大量漏洩事故が全く教訓として活かされていない
という判断を下されても仕方ない状況になっているということです。
ちなみに、過去のソニー関連の漏洩事故をまとめた2ちゃんのレスがありました。

ソニー栄光の流失史
2004年 国の反対を押し切りサムスンと提携し技術流出
2004年9月 PC盗難によりソニー損保顧客情報流出の可能性
2005年5月 ボーダフォンから業務委託を受けていたソニーマーケティングが146人分の機種変更申込書を紛失
2007年9月 社員使用PCのShareからソニー生命顧客情報流出
2009年4月 PC紛失によりソニー生命契約者情報(保険証番号)流出の可能性
2011年4月 PSNアカウント7700万流出
2011年5月 SOEクレジットカード番号1万2500件流出
2011年5月 SMEギリシャ、インドネシア、タイ現地法人運営サイトから顧客情報8500件流出
2011年5月 英SEMCのカナダ法人から2000人分の個人情報流出
2011年6月 米SPEから3万7500人の個人情報流出・米SME・オランダ・ベルギー個人情報流出
2012年9月 SOMCから中国・台湾の400人分の顧客情報流出
2014年12月 米SPE情報色々100TB分のデータの流出


今回漏れた情報が、単なる個人情報ではなく
アメリカではその人に生涯ついて回る、社会保障番号と言った
簡単に他人になりすませる情報が漏れているというのもマズイです。


ハリウッドスターの情報が丸裸になってしまったということもあり
世界的著名人からの、損害賠償が途方も無い額になる可能性もあります。
以前、Googleはハリウッド女優のプライベート写真流出で1億ドルの訴訟を起こされたことがあります。

海外セレブの写真が流出した事件でなぜかグーグルが訴えられそう

ジェニファー・ローレンス、リアーナ、カーラ・デルヴィーニュら女性スターたちの弁護団が、1億ドル(約109億円)の損害賠償を求めてGoogleを提訴する構えであるという


なにせ訴訟大国と呼ばれるアメリカですから
何か訴訟のネタを与えるというのは非常にマズイというわけです。


日本人にはピンときませんが、社会保障番号は一度漏れたら
簡単に他人になりすますことができ、悪用される恐れの非常に高い情報であると
以下のサイトで言及が有ります。

アメリカでIdentity Theftの被害にあったときは

SSNというのはアメリカ人および合法的に労働できるビザを持っている人々に発行される、個人認識番号です。アメリカで生活するうえで、SSNがないと何もできないと言っても過言ではなく、クレジットカード以外にも銀行口座を開いたり保険に入ったり、アパートを借りたり、免許を取ったりするのにも必要です。逆に言うとSSNを他人に知られてしまうと様々なことに悪用されてしまいます。SSNを発行してもらったら、カードは自宅に大事に保存し、番号はできれば暗記し、絶対に必要なとき以外は聞かれても簡単に教えてはいけないし、重要書類でも下4桁だけを表示することが多いです。

そのSSNと、名前、住所、生年月日をコンビネーションで知られてしまうというのは非常に怖い状況です。この4つを答えれば本人と認めてもらえるセキュリティシステムはけっこうありますから。

管理人注:SSNはSocial Security Numberで社会保障番号のことです。


更に上記のサイトを読み進めていきますと、このSSNが知られてしまった時に
対策を行うのは非常に煩雑な手続きを踏まなければならないとあり
多忙なハリウッドスターが、このような手続を行わされること自体に
巨額な賠償を求めてくるという可能性は十分ありえます。


社会保障番号が不特定多数に知られてしまった場合は、当然アメリカ政府的にも
番号の再発行ですとか、何かしらの対応が必要となると思われますので
もしかすると、それに対する制裁金といった厳しい処罰が行われる可能性もあります。


更にハッカーが公開している情報は、100TB以上ある中の
ほんの氷山の一角であり、まだまだ重要情報が公開されていない
中にあると考えても良いでしょう。


先の見えない、途方も無いスケールの話で関連する賠償金額などが
幾らになるかも想像だに付きません。


日本では、さらりと報道されている感じの騒動ですが
私が思いつくだけでも、これだけの膨大な問題点が浮き彫りになってきています。
場合によっては、ソニー自体が吹っ飛びかねない内容にもなってきており今後の動向からは目が離せません。

スポンサードリンク



あわせて読みたい関連記事

コメントを残す

サブコンテンツ

このページの先頭へ