プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2011年05月

meti_logo

経済産業省は、5月27日付で、史上最大規模の個人情報漏えい事件を起こした株式会社ソニー・コンピュータエンタテインメント(以下、SCEJと略します)に対して、個人情報保護法第33条に基づく助言を実施したと発表しました。下記に内容を要約します。

4月26日にSCEJから経産省に連絡があり、その後3回にわたり、任意の事情聴取を行い、5月1日付で個人情報保護法32条に基づく報告の徴収を行って、詳細なデータを得たとのことです。

その内容から、経産省としては、SCEJが個人情報の取扱いをソニーの米国法人に委託した際の「委託先の監督」が適切ではなかったと判断したとのことです。

なお、適切ではなかったポイントは下記の3点で、いずれも基本的なことが行われていなかったことが分かります。
1)委託先の米国法人にはセキュリティの責任者がおらず、異常時の緊急連絡体制も整備されていないなど、組織的安全管理に不備があった。
2)既知の脆弱性に対して委託先の米国法人内部で確認する体制もなく、技術的安全管理に不備があった。
3)SCEJと委託先の米国法人との間での安全管理に関する契約が締結されておらず、委託先の監督体制が整えられていなかった。

上記の状況を踏まえて、経産省が行った指導内容は下記の通りです。

1)委託先の監督に関して、下記の措置を講じ、再発防止策を実施すること。
(顱飽兮先における組織的安全管理体制の整備
(髻飽兮先における技術的安全管理体制の整備
(鵝飽兮先における個人情報の取扱状況を直接かつ適切に監督する体制
の整備
2)クレジットカードを利用するサービスの再開にあたっては、消費者の安心及び安心確保のための措置を講ずること。
3)ソニーグループ全体で個人情報の漏洩事故が相次いでいる状況を踏まえ、グループ全体での情報共有及び連携強化を図り、グループ全体における個人情報の安全管理体制を向上すること。

(私のコメント)
大変まっとうな内容の指導だと思います。ソニーには、グループ全体で情報セキュリティに関する取り組みを見直していただきたいと思います。

http://www.meti.go.jp/press/2011/05/20110527005/20110527005.pdf

なお、細かい話になりますが、法律上の条文では個人情報保護法33条に基づく主務大臣の行為は「助言」です。しかし、今回の経産省のプレスリリースでは「指導」となっており、微妙に違っています。次に厳しい処分は、34条の「勧告」なのですが、経産省としては勧告は厳しすぎると判断したのかなと思います。



20110524

NPO日本ネットワークセキュリティ協会が、4月に発表した「情報セキュリティインシデントに関する調査報告書〜発生確率編〜」という資料が興味深いので、本Blogでもご紹介します。

この調査によると、この1年間で
・電子メールの誤送信を行った人は約40%。
・FAXの誤送信を行った人も約40%。
・携帯電話、ノートパソコン、USBメモリの紛失・盗難にあった人は約3~6%
ということが分かりました。

本調査では、おっちょこちょいの社員は、複数の事象を起こす可能性が高いことや、ノートパソコンの紛失に関しては、実は社内での紛失が飲み屋での紛失よりも多いなど、興味深い内容が含まれています。参考にしていただければと思います。

http://www.jnsa.org/result/incident/2010_probability.html

yahoo

本日、たまたまYahoo!Japanへのログイン履歴を見る方法を知りましたので、ご紹介いたします。

実際に、私のYahoo! Japan IDのログイン履歴をみますと、海外からの不正なアタックが時々発生していることが分かります。履歴を見る限り、ログインに成功した事例はなさそうです。

あくまで、ご参考までです。

Yahoo! Japanのログイン履歴のURLはこちらです。
https://lh.login.yahoo.co.jp/

(私のコメント)
今、ネット上で、同社のサービスから情報が流出しているのではないかとの情報が流れてきていますが、今のところ、Yahoo! Japanからもセキュリティ事件の告知はありませんし、こういうことはよくあることですので、大騒ぎすることではないと思います。まずは不正なアクセスの成功事例がないか確認してみてください。そして、不正アクセスの成功例があった場合には、すぐにパスワードを変更してください。また、不正アクセスの成功例がなくても不安な方は、パスワードを変更してください。

(2011年5月23日:追記)
ヤフー株式会社は、正式に情報流出を否定しました。同時に、ヤフーのIDパスワードを(勝手に)使用しているサービスを利用している場合には、心当たりのない地域からのログイン履歴が残る場合があること、またそれとは関係なくても不審なログイン履歴がある場合にはパスワードを変更するように注意喚起しました。
http://pr.yahoo.co.jp/release/2011/0519a.html

20110516_header


情報セキュリティの専門会社である株式会社ラック(東京都港区)は、同社の最高技術責任者の西本氏がソニー事件の背景をまとめた文書を、17日付で同社Webサイト上にて公開しました。

取り急ぎ、掲載します。

http://www.lac.co.jp/column/20110517.html

(私のコメント)
まだ読み切れてないですが、力作間違いなしですよ!

psn
ソニーが、国内でプレイステーションネットワークのサービスを再開しない理由は、経済産業省が許可しないからという記事が掲載されています。しかし、政府が許可するとかしないというような性質の問題ではないと思いますので、不可解な印象を受けます。ご参考まで。

CNET Japan
「PlayStation Network」、国内で再開されていない理由とは
http://japan.cnet.com/news/service/35002786/

(2011年5月25日追記)
実は、連休中の5月1日付で、経済産業省はソニー・コンピュータエンタテインメントに対して個人情報保護法に基づく報告の徴収を行っていたようです。

株式会社ソニー・コンピュータエンタテインメントに対する個人情報保護法に基づく報告の徴収について(経済産業省)
http://www.meti.go.jp/press/2011/05/20110501001/20110501001.pdf

(5月25日追記の後の私のコメント)
実際に、経済産業省が動いていたことが分かり、少し安心しました。私、個人的には現段階におけるサービス再開には否定的な考えを持っていますので、「許可」という表現は正しくないとしても、経済産業省の指導で日本でのサービス再開が遅れているのでしたら、それはそれでいいのではないかと思います。



psn

ソニー事件に関するよくまとまった記事をご紹介します。

ScanNetSecurity
ソニーPSN漏えい事件、パスワードはハッシュ化、具体的な脆弱性は非公開(ソニー)
http://scan.netsecurity.ne.jp/archives/51972738.html

psn


史上最大規模の個人情報流出事件を起こしたソニーは、15日付で、今回の事件並びにサービス再開に関する平井副社長のビデオメッセージをWebサイト上で公開しました。

取り急ぎ、掲載します。

http://www.sony.co.jp/SonyInfo/News/ServiceArea/110515/index.html

ソニー事件関連記事
http://www.pmarknews.info/archives/51740850.html
http://www.pmarknews.info/archives/51740325.html
http://www.pmarknews.info/archives/51740255.html
http://www.pmarknews.info/archives/51740257.html

psn


ソニーは、15日付で、史上最大規模の個人情報流出事件を受けサービス提供を停止していたPlayStationRNetwork(プレイステーションネットワーク)およびQriocity™(キュリオシティ)を、欧米より段階的に再開すると発表しました。国内はまだ再開しませんが、今月内の再開を目指すそうです。

取り急ぎ、掲載します。

http://www.sony.co.jp/SonyInfo/News/Press/201105/11-0515/

(私のコメント)
この段階でのサービス再開は、リスクを伴った判断だと思います。

ソニー事件関連記事
http://www.pmarknews.info/archives/51740325.html
http://www.pmarknews.info/archives/51740255.html
http://www.pmarknews.info/archives/51740257.html

psn

史上最大規模の個人情報流出となったソニー事件ですが、同社Webサイト上での公式情報、5月1日の平井副社長の説明会のビデオ、一部の報道などの情報を総合すると、クレジットカード情報について、下記のことが分かってきました。

1)ソニーで保有していたクレジットカード情報は全世界で約1000万件であった。
2)保有していたのはカード番号と有効期限であり、セキュリティコード(裏面の3ケタ程度の文字列)は保有していない(カード会社の方針から当然ではありますが)
3)カード番号と有効期限は暗号化されていた
4)カード番号と有効期限はその他の個人情報とは別のデータベースに保存されており、不正アクセスは今のところ確認されていない
5)現在にいたるまで、カード会社から不正利用の報告はない。
ということのようです。

ですから、カード情報は流出していない可能性が高いと思います。

それに、万が一、カード情報が流出していたとしても、誰かがその情報を使用して不正利用することについては、そもそも、いろいろな制約条件がかかっています。
・セキュリティコードがないと、多くのサービスは利用できない。
・利用の時点でオーソリ(照会)が行われるので、決済の前にセンター側で検知できる。
・物販の場合には品物を受け取る時点で犯人であることがばれてしまう。
・カードの不正利用はそもそも犯罪行為である。

すなわち、万が一流出していたとしても、犯人グループは今のところ不正利用していないし、大規模に不正利用するには大きな障害が待ち受けているといえます。

もちろん、今後の犯人グループの動き次第でどうなるかは分かりません。しかし、その時には
・カード会社が対象となるカード1000万枚を全て利用停止にするとか、
・カード会社がカードの再発行を呼びかけるとか、
・再発行費用はソニーが負担するとか、
そういった騒ぎが起こるはずです。その時点で、万が一自分のカードに不正利用が行われたとしても、それは保険でカバーされることになるでしょうし、もし保険でカバーされなければソニーが負担することになるでしょう。

ですから、今回の事件でカード情報が漏れた皆さん(私を含む)は、現段階においてはカードの不正利用はあまり心配しなくてよいと思います。

もちろん、私は何の保証もできません。この記事の内容に従って損をしたとしても、私は何の補償もできません。あくまで各自の判断の一助にしていただければと思います。


psn

合計1億件超と、史上最大規模の個人情報流出となったソニー事件ですが、ソニーは同社Webサイト上にFAQ(よくある質問とそれに対する答え)を掲載しています。

Q:一部の報道またはインターネット掲示板などで、"PlayStation Network"のパスワードはデータベースに暗号化されずに保存されていたと言われているが本当か?

A:お客様が入力したパスワードがそのままの形でデータベースに保存されていた事実はございません。ハッシュ化というセキュリティ手法を用いてパスワードを変換して保存していました。

http://cdn.jp.playstation.com/msg/psn_state_faq.html


これは重要な情報ですので、本Blogで取り上げたいと思います。

パスワードがそのままの形で流出することによる被害が、昨今大変注目されてきています。それは、多くのユーザーが複数のサービスで同じパスワードを使用している現状を考えると、メールアドレスと組み合わせて他のサービスに不正アクセスできる可能性が大きいからです。

実際には、ソニーはパスワードを「ハッシュ化」していたというのです。これは「そのままの形で」流出したのとは大違いです。それが事実なのであれば、まずは私たちは一安心してよいと思います。

で、ここで「ハッシュ化」の意味を少し取り上げたいと思います。ハッシュ化というのは、パスワードを一定のロジックで変換した「ハッシュ値」という値のみを保存しておくことを言います。認証時にユーザーがパスワードを入力した際に、同じロジックで変換してみてハッシュ値が同じであれば、そのパスワードを正しいと認識するものです。

もし、ハッシュ化のロジックが一定以上の水準であれば、今回流出したのは「ハッシュ値」のみであり、パスワードが悪用される心配はないと考えてよいと思います。なぜならば、ハッシュ化のロジックが一定以上の水準であれば、ハッシュ値からパスワードを解読することはできないはずだからです。それがハッシュ値なのです。

もう少し別の言い方をすると、暗号化とハッシュ化は違うのです。暗号化は復号して元に戻すことができるのです。ハッシュ化は復号できないのです。それがハッシュ化なのです。

もし、上記の内容が事実であるとすれば、ソニーが下記のように「パスワードが流出した」と発表していることは不適切であると思います。

漏洩した(不正アクセス者が入手した)とみられるアカウント情報:  

お客様がPlayStationRNetwork/Qriocity™に登録した、氏名、住所、Eメールアドレス、生年月日、PlayStationRNetwork/Qriocity™パスワード、PlayStationRNetworkオンラインID

http://cdn.jp.playstation.com/msg/sp_20110427_psn.html


4月27日の時点で「パスワードのハッシュ値」であると発表していてくれれば、もう少し騒ぎが大きくならず、落ち着いた反応を得られたのではないかと、悔やまれます。ソニーでは、今日に至るまでこの表記を訂正していませんが、今からでも訂正した方がいいと思います。

(注)本記事は、4月27日に公表された「プレイステーションネットワーク/キュリオシティ」の情報漏えいに関して記述しています。その後に公表された「ソニーオンラインエンタテインメント」の情報漏えいに関しては、当初より流出したのは「ハッシュ化されたパスワード」であると発表されています。

(追記)5月1日の平井副社長の説明会のビデオを見ていますが、今ひとつソニー本社も「ハッシュ化」の意味が分かっていないような気がします。「暗号化はしていないが、ハッシュ化していた」というのはおかしな表現です。パスワードというのは暗号化するよりも、ハッシュ化するのが正しい処理なのです。
http://www.irwebcasting.com/110501/01/bc6eca223e/index.html

その他のソニー事件関連記事
http://www.pmarknews.info/archives/51740850.html
http://www.pmarknews.info/archives/51740325.html
http://www.pmarknews.info/archives/51740257.html
http://www.pmarknews.info/archives/51732729.html

psn


今回のソニー事件に関して、アサヒコムに分かりやすいまとめ記事が出ていますので、ご紹介します。

斎藤・西田のデジタルトレンド・チェック
「ネットでの個人情報の登録やカード決済に影を落とす、ソニーの情報漏えい」
http://www.asahi.com/digital/digitre/TKY201105110206.html

27360082.png_tmp
報道によりますと、警視庁サイバー犯罪対策課と赤坂署は、13日までに、職場の電子メールサーバーに上司のIDなどを使用して不正にアクセスし、メールを盗み見した男性を不正アクセス禁止法違反の容疑で逮捕したそうです。

この男性は容疑を認めており、上司からどのような評価をされているのかを知りたいと思って、上司が入力する際にID、パスワードなどを盗み見して知り、メールの内容を盗み見していたといいます。

(私のコメント)
そうなんです。電子メールの盗み見は、不正アクセス禁止法違反という違法行為なんです。皆様、よく知っておいてくださいね。

↑このページのトップヘ