止まないソニーへのハッキング攻撃〜掛け違えたハッカーへの対応

ネット

昨日業績見直しを発表したソニー。個人情報漏洩関連では140億円の今年度費用を見込んでいるということでしたが、依然としてハッカーの攻撃は止まないようです。5月に入ってからも、すでに4件のハッキングが明らかになっています。

ソニー傘下のWebサイトがハッキング被害、詐欺サイトに悪用される - ITmedia エンタープライズ
ソニーBMGサイトからユーザー情報流出か、今度はギリシャでハッキング - ITmedia ニュース
ソニー傘下のウェブサイトでさらなるハッキング被害--ギリシャとインドネシアで - CNET Japan
ソニー・ミュージックの日本語サイトにSQLインジェクション攻撃? - ITmedia ニュース

タイではサイトが乗っ取られてフィッシング詐欺に流用、ギリシャでは個人情報が新たに8000件以上漏洩しています。インドネシアはサイト改ざん、そしていよいよ日本のSony Music Japanでも同様のSQLインジェクションという手法でDBにアクセスされたという報告が上がっています。

タイとギリシャは実害のあるクラッキングの部類ですが、インドネシアと日本の例は完全にハッカーの挑発行為ですね。日本のサイトへの不正アクセスでは、攻撃者が声明を残していて「ソニーに恥をかかせたいだけ」といったコメントも残していたりします。完全に「ゲーム感覚」でソニーが攻撃されている印象ですね。

Sony Music Japan hacked through SQL injection flaw | Naked Security

グローバル企業であるソニーは世界中でサイトを提供しており、その全てで完璧なセキュリティ、というのは難しいということでしょう。現地雇用で組み上げているサイトもあるでしょうし、弱いところが狙われている、といった感じでしょうか。(もっとも、その中に日本のサイトが含まれてしまっているのはなんとも…という感じではありますが。)

ねじれてしまったハッカーとの関係〜「他OSインストール機能削除」が契機か

こうした一連のハッカーからの攻撃について、すでにいろいろなところで語られています。以下のITmediaのまとめが詳しいですね。

誰が、なぜ? 史上最悪規模・ソニー個人情報流出事件を時系列順に整理 - ITmedia ニュース

世間的には「PS3をハックしたGeohot相手に訴訟を起こしたから」と言われています。たしかに、現在の一連の攻撃の直接のきっかけはそれかもしれません。ただ個人的には、一番まずかったのは「他OSインストール機能削除」だったと思っています。

PS3は数年の間、他のハードがハックされて不正イメージ起動するような状況でも、堅牢性をずっと誇っていました。しかしiPhoneの脱獄で名高いGeohotが難攻不落のPS3に挑戦、これのハッキングに成功した、と発表。ただ、この時点ではあくまで「ハックに成功した」と彼が宣言しただけで情報公開も無く、実際には別の難関が残っていたようでGeohotも他の機器に関心が移っていたような状態でした。

ただでさえ固いセキュリティでしたので、このままGeohotが飽きてしまえばそのままPS3の堅牢性は当分保たれたのかもしれなかったのですが、ここでソニーが下手を打ってしまいました。それが、他OSインストール機能削除です。たしかに、Linuxを介してハッキングが行われていたわけですが、だからといって既に発売済みのハードから機能削除までやってしまうのは、あまりに過剰だったように思います。

実際のところ、このOtherOS機能削除は、ソニーのコスト削減の意味合いが大きかったと思われます。実際、薄型PS3ではすでに最初からLinuxは使えないようになっていました。薄型が2009/9/3の発売なのでGeohotがハッキング成功する2010年1月より前のこと。また削除の理由は「サポートパワーの軽減」と以下のインタビューでも明言されています。(ちなみにこのインタビューでは「今後も旧モデルでOtherOS機能を削除することは無い」と言っています。)

【西田宗千佳のRandomTracking】SCEに聞く、薄型PS3とソフトウエアVer.3.00の秘密 -AV Watch

その後Geohotのハッキングを理由に旧型でも機能を削除するのですが、そのFWのリリースは4月。Geohotが発表してから実に3ヶ月もたっています。しかも「バージョンアップしなければPSNに繋げないがLinuxは残しておける」という措置。すでにハッキング成功していたGeohotやバージョンアップしないハッカーには意味の無い対策でした。結局、薄型で他OS機能を削除した理由と同じで、すでに旧型の販売終了している中で新FWリリースの度に旧型のみの他OS機能を検証・サポートするコストを軽減したかった、という経済的な判断も含まれていたように想像します。

逆にこの件により、普通のユーザーでLinuxを使っていた人としては、バージョンアップしてPSNとゲームを選ぶか、更新せずにLinuxを残して専用機にするかの二者択一を急に迫られる形となりました。自分もまさにその境遇であったため、当時かなりの苦言を呈したのを覚えています。

旧型PS3、4/1の新ファーム3.21からLinuxのインストール&実行が不可に - わぱのつれづれ日記

結局こうしたLinuxユーザーの不満は、当時まとめてGeohotの元に向かうことになりました。「お前がハッキングしたせいでLinuxが使えなくなった!」という訳です。彼のページは、非常に汚い英語での罵詈雑言にあふれていました。この件に対して、Geohotは当時「まさか旧型のOS機能までなくすとは思わなかった」とコメントをし、ユーザーからの罵詈雑言に逆切れして「じゃあ俺がまた使えるようにしてやるよ!」と、結局中断・放置気味だったPS3ハッキングの本格再開をしてしまいました。他OS機能削除がやぶ蛇となってしまった形です。これが、結果的にPS3のルートキー判明・公開にもつながり、一気に本体セキュリティが最低ランクまで落とされる事態を招いてしまいました。今回の個人情報漏洩騒ぎも、本体なりすましまでできるようになってしまった改造PS3の影響もあるのでは、と推測されています。

難しいハッカーへの対応

ソニーとしては、消費者の利益を守るためにハッカーなどには徹底的に対抗していく、という信念を貫いているのでしょう。「テロリストに屈してはいけない」という定説に沿うような形ですね。ただ、知的好奇心で高いセキュリティを面白半分で崩そうとするハッカーと、そうした強い態度とはある意味、火と油で、結果的に藪をつついて蛇を出したような形になってしまっています。

現在のハッカーによる波状攻撃は、ある意味「公開デバッグ状態」に陥っているような形となっています。企業によっては、ハッカーを自社のセキュリティ強化のために雇い入れたりする会社もありますし、実際セキュリティ専門家も善意があるだけでやっていることはハッカーと大差なかったりもします。今回の件はとにかく嵐が去るまでなんとか新たな漏洩が無いように耐え、見つかった欠陥はかたっぱしから潰し、さらなるセキュリティ強化にしっかり投資する一方、ハッカーとの距離感というのもうまく図っていく必要があると思われます。

現状、完全にハッカーになめられて調子づかせてしまっている状態。ハッカーがおもしろ半分で見つけた穴を、悪意あるクラッカーが利用して実害が出るというのが一番悪い流れです。とりあえずクラッキングで情報漏洩した部分については、犯人探しと処罰へは持って行って欲しいところです。その一方で、扱いの難しいハッカーに嫌悪されない対処も必要になってくるように思います。家の防犯でも、「犯罪者に狙われないようにする」というのも一つの防犯対策と言いますし。ハッカーに泣き寝入りをする必要はありませんが、膨大な顧客情報を抱えている訳ですので、それに被害が出ないような形で、最善の対応をとっていただければ、と思います。


P.S.
誤字や文章表現などを一部見直し、修正しました。