ソニーは5月1日、ネットワークサービスのPlayStation Network(PSN)とQriocityで発生した情報流出事件に関して記者会見を開催し、現在の状況に関して説明を行った。今後、セキュリティを強化してサービスを再開していく考えだ。

会見に登壇したソニー副社長でSCEの社長兼グループCEO・平井一夫氏(中央)。左は神戸司郎広報センター長、右は長谷島眞時CIO

7700万件の個人情報、1000万件のクレジットカード情報漏えいの可能性

今回の事件は、ソニー・コンピュータエンタテインメント(SCE)と米Sony Network Entertainment(SNEI)運営の2つのネットワークサービスにおいて利用する米カリフォルニア州サンディエゴのデータセンターに不正アクセスが行われ、PSNとQriocityに登録したユーザー情報が最大7,700万件漏えいしたというもの。情報漏えい件数としては過去最大規模となり、ソニーではサービスを停止して状況の確認を行っていた。

事件の経緯は次の通り。SNEIが今年4月20日(日本時間、以下同)にサーバーで異常な動作を確認、すぐさま社内調査を実施したところ、18日から20日にかけて不正アクセスが行われていたことが分かった。21日には本格的な調査を行うためにサーバーを停止して2つのサービスを休止。米国のITセキュリティ企業に依頼をして調査をしたところ、「高度な技術を持った巧妙な攻撃」(ソニー・平井一夫副社長)だと判明し、25日にはさらにコンピュータ調査専門会社2社も加えて調査を強化した。27日には「個人情報漏えいの可能性が否定できない」(同)として、今回の事態を公表した。

日本時間20日に異常を確認し、その後攻撃が判明した

ITセキュリティ企業、調査会社3社に依頼してデータの解析などを行い、27日に情報が公開された

現時点での同社の調査では、サーバーへの不正侵入によってPSNとQriocityに登録したユーザーの氏名、国と住所、Eメールアドレス、誕生日、性別、PSN/Qriocityのログインパスワード、オンラインIDの各情報へのアクセスを確認。過去の買い物履歴と請求先住所を含むプロフィールデータ、PSN/Qriocityのログインパスワード照合時の質問、セキュリティコードを除くクレジットカード番号と有効期限については、データにアクセスされた形跡がないものの、「漏えいの可能性がある」(同)としている。

漏えいしたと見られる個人情報に対し、クレジットカード情報などの一部データは漏えいした証拠はない、という

今回漏えいしたデータは、PSN/Qriocityのアカウント数が約7,700万件。重複登録もできるため、実際に漏えいした個人情報のデータ数は現在不明。クレジットカード番号は、約1,000万件が登録されており、最大でこれだけの数の番号が流出した可能性がある。

現在、クレジットカードの不正使用や個人情報漏えいによる被害は確認されていないという。同社では米連邦捜査局(FBI)に捜査を依頼しており、今後新たな情報があったり捜査の進展があったりした場合は再度報告するとしている。