PSN情報漏洩の件に関してSCEが会見

全世界を騒がしているPSN情報漏洩事件。これについて、GW連休の日曜日という日程ではありますが本日SCEより会見が行われました。

4Gamer.net ― 【速報】ソニー,PSNへの不正アクセスに関する記者会見を実施。PSNのサービスは段階的に再開 ※15時50分頃更新(PlayStation 3)

基本的には、すでにHPやQ&Aのページで明らかにされていた内容に、さらに情報漏れ経緯などの情報が追加され、補償対策の一部が公開されたような形ですね。

セキュリティの面では、今回の件で明らかになった一番大きな要素として「既知の脆弱性をつかれた」というところがあります。すなわち、サーバーに以前から知られた脆弱性があり、それを塞いでいなくてクラッカーに侵入を許したとのこと。セキュリティーパッチは常日頃当てているのが当然、しかもこんな何千万人という人がオンラインで利用するサーバー。これで「セキュリティ対策は万全だった」などとはさすがに言えないと思うのですが。

次に、暗号化関連の件について。こちらは、クレジットカード情報は暗号化、その他個人情報はやはり暗号化されていなかったようです。ただ、パスワードについてはハッシュ化処理はしていた模様。データのハッシュ化とは、一定のアルゴリズムを用いてデータを変換するもので、不可逆なものです。ただ、ある程度の時間やデータを用意すると、データのハッシュ化アルゴリズムを解析されてハッシュ化前のパスワードが類推されてしまう可能性はゼロではないでしょうね。この点が漏洩のおそれがあるとしているところでしょうか。

そして、補償の件について。メインとなるところは「PS+の30日無料使用権」。これはちょっとびっくりでしたね。PS+自体、現状のPSNユーザーで利用していた人がどれだけいることでしょう?そんな、ユーザーに浸透していないものに対して「1ヶ月無料にします」と言われても、モノ的には通販グッズやMMOとかの「1ヶ月無料体験可能」という販促とさほど変わりないように見えます。半分広告費みたいなもので、特に補償にもなっていないように思えるのですが。そもそも、Xbox360なら新規アカウント3つまで無料1ヶ月Gold会員ってものがあります。SCEの補償は、360が標準でできているものを提供しようとしているレベル、とも言える気がします。

こうした会見を受けて、4gamerの記事もありますね。

4Gamer.net ― 個人情報流出の二次災害に注意せよ! PlayStation Network不正アクセスに関する記者会見詳報(PlayStation 3)

とくに「個人情報に関する補償意識が軽い」というのは自分も感じましたね。補償に対してはとにかく個別対応という形。個人情報が漏れていることそのものに対して補償がされる事例が複数すでにあるのにもかかわらず、それに触れずクレジットカード情報のみに終始していた感があります。以下に損害賠償を抑えるか、そういった観点が働いていた会見にも感じられました。

こうした会見内容に、案の定周りの反応は冷たいものだったようです。

プレステ情報流出:ソニー会見も対応や安全性に不信感 − 毎日jp(毎日新聞)
エフセキュアブログ : ソニーのPSNからの情報漏洩に学ぶ事後対応策の重要性

情報公開が遅いこと、個人情報そのものに対する意識・価値観が弱いこと、補償などが十分な形で示されていないことなどがこうしたバッシングを受ける理由でしょうね。ただでさえ、今回の件はゲーム業界ひとまとめ、日本ひとまとめにして「個人情報、セキュリティの認識も技術も甘い」という認識が持たれてきています。世界的な日本の失墜を招かないためにも、保身ばかりに走るのではなく「損して得取れ」の方針で適切な対応をとっていただきたいものです。