電気メーカーでの大型情報漏洩の脅威 ソニーの事例

電気メーカーでの大型情報漏洩の脅威について

大手家電メーカーの大型個人情報漏洩事件とは、PlayStation NetworkとQriocityへの不正アクセスによって、登録者の個人情報漏洩の可能性があると発覚した事件のことです。
PlayStation NetworkおよびQriocityのサービスは、2010年に発足した大手家電メーカーのグループ内のネットワークサービス管理と運営を行っているネットワーク内での担当で事件が起こりました。
米国時間で2011年の4月中旬から下旬にかけてに異常な動作が見つかり、社内で調査を行った結果、4月中旬の数日間にかけて不正アクセスが合ったことが判明したのです。
これをうけて本格的な調査を行うためにサーバーを停止し、同時に不正アクセスがあったサービスも停止しました。
漏洩した情報の内容は登録者の氏名、国と住所、Eメールアドレス、生年月日、性別、PlayStation NetworkおよびQriocityのログインパスワード、PlayStation NetworkのオンラインIDとなっており、漏洩した可能性がある情報は、購入履歴、請求先住所とパスワード再設定用の質問、クレジットカードに関する情報です。
漏洩した情報は、7700万件と非常に大規模なものとなったのです。

情報漏洩の内容と不正アクセスの手段

情報漏洩は、会社の存続さえも危ぶまれる現代のデータ社会での危険の一つとして、企業は真剣に認識する必要があります。
特に取り扱う規模が大きくなれば、なるほど、警戒しなければならない問題の一つです。
油断していると、外部から不正アクセスされていることに気づかず、トラブルがさらに拡大してしまう可能性も十分にあるのです。
前述の不正アクセスの手段は、ファイアウォールで検知できない、正常なトランザクションとして入り、正常なトランザクションとして出ていくものであったため、従来の仕組みで防ぐことができなかったと発表されました。
方法としては、アプリケーションサーバー侵入して、サーバー上に不正ツールを導入して侵入経路を確立し、外部から操作可能な環境を構築して、データベースサーバーへのアクセス権を入手、個人情報などのデータにアクセスしたものと考えられています。
多くの情報を抱えている企業は、情報漏洩に対する認識と十分な対策を講じることが課題となるでしょう。