皆さんはゲームはお好きでしょうか。私はけっこうなゲーム好きで、一通りの据え置き型ゲーム機と携帯ゲーム機を所有しています。2011年は任天堂から「ニンテンドー3DS」、ソニー・コンピュータエンタテインメント(SCE)から「PlayStation Vita」という2つの携帯ゲーム機が発売されるという明るいニュースがあった反面、ソニーの「プレイステーションネットワーク(PSN)」に不正アクセスが行なわれ過去最大の個人情報流出が発生するという暗いニュースもありました。
高度化・多様化を続けるゲームにはどのような危険があり、私たちはどのようにそれを防げばよいのでしょうか。今月はゲームでのセキュリティについて考えてみたいと思います。
プレイステーションネットワークに起きたこと
ご存知の方も多いとは思いますが、もう一度PSNへの不正アクセスについてまとめておきましょう。
PSNは、ソニーが運営するデジタルメディアサービスです。プレイステーション3やプレイステーション・ポータブルなどのゲーム機を対象とし、ソニーグループ会社やサードパーティのゲーム、映像、漫画などの配信サービスを行なっています。
事件の発端は、2010年4月21日からの接続障害として現われました。接続障害は数日間続き、その間にハッカー集団「Anonymous」が自分たちの仕業であると声明を出しています。4月27日になり、ソニーは21日からの障害が外部からの攻撃であり、PSNに登録されているユーザーアカウントの情報が全件、外部に流出した可能性があることを公表しました。PSNには、7700万人もの登録者がいるため、世界最大の個人情報流出事件となってしまいました。また、一部ユーザーのクレジットカード番号流出の可能性もあるようです。
PSNで流出したアカウントに含まれる情報は、以下の通りです。
- 氏名
- 性別
- 住所
- 国名
- メールアドレス
- 生年月日
- ログインID/パスワード
ソニーの発表によると、PSNへの侵入は、サーバーの脆弱性をついて行なわれたようです。PSNは、Webサーバー、アプリケーションサーバー、データベースサーバーの3段で構成されています。攻撃者は、アプリケーションサーバーにある脆弱性を利用して通信ツールを設置。そのツールでデータベースサーバーに不正アクセスを行ない、個人情報を取得したとあります。犯人としては、Anonymousの可能性が高いといわれていますが、明確な証拠は見つかっていません。
PSNへの攻撃方法
PSNの問題点はどこにあったのか
報道によると、ソニーにはPSNの運用において明らかな問題点がいくつかあります。1つ目は、脆弱性について認識していなかったことです。脆弱性があることを知りつつも、運用の都合により対策をしていなかったのではなく、「まったく認知していなかった」のです。そのため、このような事態が起きた場合の対処も想定されていませんでした。
2つ目は、PSNの個人情報の管理を委託されているソニーのグループ会社である米「Sony Network Entertainment International(SNEI)」に、CIOが設置されてなく緊急時の報告体制が取られていないなど、安全管理体制に大きな不備があったということです。この点は、経済産業省から行政指導が行なわれています。
現在はこういった点は改善されていると信じたいですが、そもそもとして、本当にこのような個人情報を登録する仕組みにする必要があったのかという疑問が浮かびます。PSNで行なっているのは通販ではなくオンラインの配信です。住所・氏名という情報が本当に必要だったのでしょうか。もしかしたら、マーケティング的な観点から有用だったのかもしれませんが、少なくともPSNを使う上では不要なはずです。実際に架空の住所、あるいは偽の住所を登録して使用している例がインターネット上には報告されています。
このような、サービスに本質的には不要な情報を登録させる例はけっこう多く見かけます。たとえば、試しにいくつかのダウンロード販売のサイトのアカウント登録の内容を見てみましたが、住所・氏名の記入欄をもっているものがいくつもありました。もしこれをご覧の読者のほうがそのようなサービスを提供している場合には、本当に必要な情報のみを登録するようにしていただきたいと思います。
筆者紹介:富安洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。
この連載の記事
-
最終回
TECH
セキュリティの根本はインシデントに備えた体制作りから -
第54回
TECH
マルウェア感染の被害を抑える「転ばぬ先の出口対策」 -
第53回
TECH
マルウェア感染を発見した際の初期対応 -
第52回
TECH
ついに成立したサイバー刑法に懸念点はないか -
第51回
TECH
施行されたサイバー刑法における「ウイルス作成罪」の内容 -
第50回
TECH
サイバー刑法が過去に抱えていた問題点 -
第49回
TECH
ウイルス作者を取り締まるサイバー刑法ができるまで -
第48回
TECH
医療ICTの今後の広がり -
第47回
TECH
重大な情報を扱う医療ICTのセキュリティ対策 -
第46回
TECH
医療ICTの柱「レセプト電算処理システム」の仕組みと問題 -
第45回
TECH
医療分野で普及が進む電子カルテシステムの課題 - この連載の一覧へ