psn

合計1億件超と、史上最大規模の個人情報流出となったソニー事件ですが、ソニーは同社Webサイト上にFAQ(よくある質問とそれに対する答え)を掲載しています。

Q:一部の報道またはインターネット掲示板などで、"PlayStation Network"のパスワードはデータベースに暗号化されずに保存されていたと言われているが本当か?

A:お客様が入力したパスワードがそのままの形でデータベースに保存されていた事実はございません。ハッシュ化というセキュリティ手法を用いてパスワードを変換して保存していました。

http://cdn.jp.playstation.com/msg/psn_state_faq.html


これは重要な情報ですので、本Blogで取り上げたいと思います。

パスワードがそのままの形で流出することによる被害が、昨今大変注目されてきています。それは、多くのユーザーが複数のサービスで同じパスワードを使用している現状を考えると、メールアドレスと組み合わせて他のサービスに不正アクセスできる可能性が大きいからです。

実際には、ソニーはパスワードを「ハッシュ化」していたというのです。これは「そのままの形で」流出したのとは大違いです。それが事実なのであれば、まずは私たちは一安心してよいと思います。

で、ここで「ハッシュ化」の意味を少し取り上げたいと思います。ハッシュ化というのは、パスワードを一定のロジックで変換した「ハッシュ値」という値のみを保存しておくことを言います。認証時にユーザーがパスワードを入力した際に、同じロジックで変換してみてハッシュ値が同じであれば、そのパスワードを正しいと認識するものです。

もし、ハッシュ化のロジックが一定以上の水準であれば、今回流出したのは「ハッシュ値」のみであり、パスワードが悪用される心配はないと考えてよいと思います。なぜならば、ハッシュ化のロジックが一定以上の水準であれば、ハッシュ値からパスワードを解読することはできないはずだからです。それがハッシュ値なのです。

もう少し別の言い方をすると、暗号化とハッシュ化は違うのです。暗号化は復号して元に戻すことができるのです。ハッシュ化は復号できないのです。それがハッシュ化なのです。

もし、上記の内容が事実であるとすれば、ソニーが下記のように「パスワードが流出した」と発表していることは不適切であると思います。

漏洩した(不正アクセス者が入手した)とみられるアカウント情報:  

お客様がPlayStationRNetwork/Qriocity™に登録した、氏名、住所、Eメールアドレス、生年月日、PlayStationRNetwork/Qriocity™パスワード、PlayStationRNetworkオンラインID

http://cdn.jp.playstation.com/msg/sp_20110427_psn.html


4月27日の時点で「パスワードのハッシュ値」であると発表していてくれれば、もう少し騒ぎが大きくならず、落ち着いた反応を得られたのではないかと、悔やまれます。ソニーでは、今日に至るまでこの表記を訂正していませんが、今からでも訂正した方がいいと思います。

(注)本記事は、4月27日に公表された「プレイステーションネットワーク/キュリオシティ」の情報漏えいに関して記述しています。その後に公表された「ソニーオンラインエンタテインメント」の情報漏えいに関しては、当初より流出したのは「ハッシュ化されたパスワード」であると発表されています。

(追記)5月1日の平井副社長の説明会のビデオを見ていますが、今ひとつソニー本社も「ハッシュ化」の意味が分かっていないような気がします。「暗号化はしていないが、ハッシュ化していた」というのはおかしな表現です。パスワードというのは暗号化するよりも、ハッシュ化するのが正しい処理なのです。
http://www.irwebcasting.com/110501/01/bc6eca223e/index.html

その他のソニー事件関連記事
http://www.pmarknews.info/archives/51740850.html
http://www.pmarknews.info/archives/51740325.html
http://www.pmarknews.info/archives/51740257.html
http://www.pmarknews.info/archives/51732729.html



週に一回程度、更新情報をお届けします

こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)

メンバー募集

オプティマ・ソリューションズは、個人情報保護のためにPマーク・ISMSの取得を通して、様々な企業様をサポートするコンサルティング&サービス会社です。未経験者でも大歓迎です!明るく、真剣に打ち込める環境で一緒に働きましょう!

✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報

興味がある方、ぜひこちらからご連絡ください!