ソニー、PSNとQriocity不正アクセス問題で会見
~ネットワーク戦略とTablet/NGP発売日に変更なし

会見開始直後、登壇者が不正アクセスに対しお詫びをした

5月1日 開催



 ソニーは5月1日、PlayStation Network(PSN)及びQriocityへの不正アクセスに関する説明会を実施。会見でソニー株式会社 代表執行役 副社長 コンスーマープロダクツ&サービスグループ プレジデント、株式会社ソニー・コンピューターエンタテインメント 社長兼グループCEO 平井一夫氏は、「私たちが最も重視すべきお客様に迷惑をおかけしたことを深くお詫びする」と陳謝しながら、「ネットワーク戦略はソニーがグループの最重要戦略の1つとしているもので、今回の件によってその戦略に変更を行なうことはない。Sony Tabletなどの発売日にも一切変更はない」と強調した。

今回の会見タイトルソニー株式会社 代表執行役 副社長 コンスーマープロダクツ&サービスグループ プレジデント、株式会社ソニー・コンピューターエンタテインメント 社長兼グループCEO 平井一夫氏

 今回の不正アクセスは、4月17日から19日にかけて、米国にあるソニーグループのネットワーク事業の運営、管理を担当するSony Network Entertainment International(SNEI)のサーバーに不正アクセスが行なわれ、最大で7,700万件の情報が漏えいした可能性がある。

 ソニーでは、今回の不正アクセスの経緯について、米国時間4月19日(日本時間20日)にサーバーに異常な動きを感知したことから調査を開始。翌20日(同21日)、社内調査により17日から19日にかけて不正アクセスがあったことが判明。本格的な調査を行なうためにサーバーを停止し、PSN、Qriocityサービスも停止した。その後、20日(同21日)から24日(同25日)までに外部のセキュリティ専門会社3社へ調査を依頼し、徹底調査を行なった結果、個人情報の漏えいの可能性が判明。4月26日(同27日)にウェブへの告知と、登録メールアドレス宛に判明した情報とセキュリティ確保の注意喚起を行なった。

 情報漏えいが発覚してから、今回の会見を行なった5月1日までタイムラグがあり、特に4月26日には平井副社長が登場しSony Tabletの発表会を行なっていたにも関わらずこの件に関する言及がなかったことについては、「今回、外部のセキュリティ対策会社3社に調査を依頼し、調査、解析に時間がかかった。ある程度、精度の高い情報を提供するために時間がかかったことをご理解頂きたい。確かに、4月26日のTablet発表段階で情報漏えいの事実は認識していたが、精度の高い情報が私の手元に届いたのは1日後の27日だった」(平井副社長)と話している。

不正アクセスの経緯(1)不正アクセスの経緯(2)不正アクセスの経緯(3)

 漏えいしたと見られる個人情報は、氏名、国と住所、Eメールアドレス、誕生部、性別、PlayStation Network及びQriocityのログインパスワード、オンラインID。なお、ログインパスワードについては、ハッシュ化されていたものの、暗号化されていなかった。

 漏えいの可能性があると見られる個人情報は、過去の買い物履歴と請求住所を含むプロフィールデータ、PlayStation Network、Qriocityのログインパスワード照合時の質問、セキュリティコードを除くクレジットカード番号と有効期限。こちらの情報は、漏えいしたと思われる情報とは別なところに保管され、データが暗号化されていた。

ソニー株式会社 業務執行役員 シニア・バイス・プレジデント チーフ・インフォメーション・オフィサー ビジネス・トランスフォーメーション/ISセンター長 長谷島眞時氏

 漏えいしたと見られる個人情報と、漏えいの可能性がある個人情報の違いは解析結果に基づく分類で、「漏えいの可能性があるとしたクレジットカード番号などのデータは暗号化され、さらにデータベースのその項目を読みに行った形跡がない」(ソニー株式会社 業務執行役員 シニア・バイス・プレジデント チーフ・インフォメーション・オフィサー ビジネス・トランスフォーメーション/ISセンター長 長谷島眞時氏)と説明している。

 不正アクセスが行なわれた要因としては、利用していたシステムのアプリケーションサーバーの脆弱性をつかれた。アプリケーションサーバーの詳細については、「セキュリティ的な観点から公表は控える」としている。また、この脆弱性は既知のものであったが、「SNEIのマネージメントはこれを認識していなかった」という。

 今回の不正アクセスを受け、システム側は現在SNEIが利用しているデータセンターを、よりセキュリティレベルの高いデータセンターへの移管を前倒しで実施。新たなファイアーウォールの増設、不正アクセスに対するソフトウェアの自動的なプロセス監視機能と環境設定項目の管理機能の強化、データ保護と暗号化のレベル強化、PSN/Qriocityネットワークへの不明なソフトウェアの侵入、不正アクセス、不審行為に対する見地能力の向上を図る。

 さらにチーフ・インフォメーション・セキュリティ・オフィサー職を新設し、CIOである長谷島氏に直接レポートをあげる。

不正アクセスの手口安全管理措置について(1)安全管理措置について(2)

 サービス再開前には、PS3のシステムソフトウェアをバージョンアップし、PlayStation Networkのアカウントを持つ全ユーザーに対してパスワードの変更を実施する。

 顧客への対応としては、すでに26日(同27日)から実施している注意喚起で、アカウントに登録しているクレジットカードの引き落とし履歴などの定期的な確認、PSNで利用しているユーザーIDやパスワードを他のインターネット上のサービスで利用している場合の変更などを改めて告知強化していく。

 さらに、利用者の国など地域に応じて、クレジットカード再発行を行なうユーザーに対するサポート、本人確認の認証強度を高めるアイデンティティプロテクションサービスなどの利用を無料サポートする。

 また、ユーザーへのお詫びとして特定コンテンツの無料ダウンロード、定額制パッケージサービス「PlayStation Plus」の30日間無料加入と、現行会員に対しては30日間の無料提供、Music Unlimited Powered by Qriocity(日本はサービス展開していない)会員向けに30日間無料提供を行なう。今後、さらにサービスを追加することも計画している。

 個人情報の流出に対し、商品券の配布といった金銭的な補償をする計画は現行では無いという。

お客様への対応について(1)お客様への対応について(2)お客様への対応について(3)

 サービス再開は5月1日時点から1週間以内に実施し、全面的なサービス再開は5月中を目指す。

 ソニーではネットワークを今後の事業の中核に据えていく方針としているが、今回の情報漏えい後もその方針に変更はない。情報管理体制をさらに強化して対応する。

サービス再開スケジュールについて(1)サービス再開スケジュールについて(2)

 「今回の事件とは直接関係があるかは不明だが、ソニーでは以前からアノニマスというハッカーグループからさまざまな攻撃を受けている。こうした犯罪行為は、ソニー1社の問題ではなく、捜査当局などの関係機関とも協力し、ネットワーク犯罪に対しては毅然とした対応を行なう」(平井副社長)とハッカーやクラッカーに対しては毅然とした態度をとっていくことを強調した。

今後の経営方針について

 今回の不正アクセスによる顧客へのダメージに対しては、「Qriocityの世界展開、PSN、NGPとネットワークが顧客体験に密接な関わりを持つものであることは確かで、ユーザーの皆さんへの信頼を再び取り戻すためには、技術面及びもう1度楽しいと評価して頂けるようなコンテンツとネットワーク商品を提供していくしかない。Sony Tablet、NGPの発売予定にも変更は一切行なわない」(平井副社長)ことも改めてアピールした。

 また、今回の事件による業績への影響については、対象が広範囲に及ぶため現時点ではどの程度の影響があるのか精査できていないという。

(2011年 5月 2日)

[Reported by 三浦 優子]