« MacBookの選び方 (Early 2011) | トップページ | DVDからiTunesへデジタルコピー »

2011年4月27日 (水)

ソニーの情報流出

SONYのPlayStation Networkで顧客情報の流出があった。

様々なインターネットのサービスで顧客情報の流出は頻繁にある(あってはならないことだが、作業ミスやセキュリティホールから発生してしまう)が、今回問題なのはパスワードが流出したことだ。
ソニーのお詫び文書では流出したアカウントとパスワードで不正ログインの可能性があるとされている。
PlayStation®Network/Qriocity™をご利用の皆様へのお詫びとお願い

お詫び文書の内容を読むと「やって当たり前」の基本的なデータセキュリティ対策を「ほとんどやっていなかった」としか読み取れない。

通常、パスワードはハッシュ化して保存しているのが当たり前となっている。ハッシュ化された時点でサイトの管理者でもパスワードを突き止めることはほぼ出来ないはずだ。だから、流出によって不正ログインされることもほとんど無い。にも関わらず今回不正ログインが行われる可能性を示唆しているということは、パスワードをハッシュ化せず平文(もしくは単純暗号)の状態で格納していた可能性があるということだ。
この時点でソニーの情報管理がお粗末極まりないということになる。
[追記]後ほど、平文ではなくハッシュ化していたとソニーから訂正があった。

さらにクレジットカード番号や有効期限が流出した可能性を否定できないということは、クレジットカード情報を隔離せずにユーザ情報と同一の領域に格納し、さらにアクセスログを別領域に取得していなかった可能性もあるということだ。
ともすればもはや論外である。

さらに、流出したのが17日~19日だが、公表されたのは27日と10日程度経過してしまっている。
不正ログインを行うには十分な時間だ。
危険性を周知するのに、これだけの時間を費やしているということは、利用者の情報流出を問題として捉えていなかったとしか思えない。

分かりやすく言えば、「預かった他人のキャッシュカードとクレジットカードと免許証と暗証番号を書いた紙を同じところに置き、誰も見張っていなかった」ということになる。
しかも「もしかしたらこの10日間に誰かが引き落としたり、使ったりしたかもしれない」ということだ。

ハードベンダーとしてのソニーは好きだったが、ソニーのソフトウェアはレベルが低い。SonicStageから始まる音楽管理ソフトの出来の悪さと、VAIOに搭載されている自社ソフトの出来の悪さに辟易してソニー製を買わなくなっていたが、ここまでひどいとは…。

 

|

« MacBookの選び方 (Early 2011) | トップページ | DVDからiTunesへデジタルコピー »

internet」カテゴリの記事

コメント

この記事へのコメントは終了しました。

トラックバック


この記事へのトラックバック一覧です: ソニーの情報流出:

« MacBookの選び方 (Early 2011) | トップページ | DVDからiTunesへデジタルコピー »