予告通りに実行〜自ら漏洩し悪質な行為

前々から犯行予告が出されており、それを実行に移して達成してしまった形です。しかも、件数も100万人規模と述べ、証拠として5万件分の個人情報を自ら流出させてしまっています。今回のデータはなんとログイン名とパスワードが平文、暗号化されていない状態。PSNのときはパスはハッシュ化されていましたし、いまだ大規模に流通している様子はないため、こっちのサンプルデータのほうが「実害」としては大きいように思われます。この流出したメアドとパスで、クラッカーが他のサイトのアカウントのっとり攻撃が行われると容易に想定され、深刻な被害が出る恐れもあります。そういう意味で、非常に悪質な行為・犯罪です。ハッカー的には、面白半分でやっている感じがしますが、こうして直接的な大々的漏洩をやるのはハッカーではなくクラッカーの域に達していると言えるでしょう。Twitterでも発言を続けており、さすがにこれはFBIなどが介入すれば逮捕までもっていけるのではないでしょうか。

低いセキュリティ対策〜グループ会社攻撃と同一手法＆暗号化無し

一方気になるのはソニー・ピクチャーズのセキュリティ対策。犯行の手口としては、またもやSQLインジェクション。さらにシンプルな一度のアタックで全てにアクセスできるようになったとコメントしています。パスワードが平文の件も踏まえると、セキュリティ的には相当ザルだった形です。

同じ手口を繰り返しても防ぎきれないというのは、ソニーのセキュリティシステムに元々脆弱性があり、それの修復がそう簡単にできないというなんでしょうか。とはいえ、グループ会社がやられた手口が自社でも使われないか、5月中にテストなどはできなかったのでしょうか？ソニー本社から全世界へセキュリティ体制の見直しは出ていたでしょうし、その中でSQLインジェクションへのテストが含まれていないのだとすると、ソニー・ピクチャーズのセキュリティ責任者は相当責められることになりそうです。

止まない嵐〜漏洩を抑える努力を

ソニーの幹部が報告会で「コンテスト状態」というように、今はソニーが世界中のハッカーから、愉快犯的に狙われてしまっている状態です。ハッカーには10代とかの若い人も多いですからね。大企業をへこましてやれることが楽しい、といった人も相当数参加していそうな気がします。

今は世界中で無数のオンラインサービスが展開されており、それを実装する側の技術者の質も様々でしょう。質の低い人で構築されたシステムを、技術に長けたハッカーに狙われたらなかなか防ぎきれないのかもしれません。ただ、それでもできる対策はあるはずです。ただでさえ、現状犯行声明を出されるほど露骨にソニーは狙われている状態。その状態でパスワード平文の状態でオンラインサービスを運用することは、半分自殺行為です。万が一漏れてしまった場合でも即座に消費者に実害が及ばないよう、暗号化する努力は早急に取るべきだと思います。

今回のハッキングコンテスト状態をなんとか乗り切り、そこで得られた経験でセキュリティを強化することがソニーにとって重要でしょう。MSも、Windowsでさんざん脆弱性を狙われてひたすら戦いを続けて、結果的にそれなりのセキュリティを築きあげました。OSなどをやっていないソニーではまだ経験不足なところもあるでしょうが、今回の件をひとつの経験の機会として、10のマイナスを40のプラスで取り返すような展開を期待したいと思います。