特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (2) 金銭目的ではない犯行、犯行動機の脅威と変化

2．金銭目的ではない犯行、犯行動機の脅威と変化

これまでの報道されている経緯を私なりに推測してみます。

PS3は以前他社に比べ苦戦はしていたもののオープンなOSも搭載可能であったため、米国の医療研究機関や軍隊などで数千台をつないでスパコンに対抗するなどのプロジェクトなど、多くの「ハッカー」に支持されていましたが、2010年4月に発売された新型PS3ではそういった機能が削られ、「ゲーム専用機」としての再スタートを切ることとなりました。

そのため多くの「ハッカー」が落胆していたところ、2011年1月にA-type（パイオニア）ハッカーのジョージホッツ氏がPS3をハッキング、ジェイルブレイクに成功し、その情報をブログで公開しました。それに対してソニーは直ちにホッツ氏を訴え、C-type（ネット市民運動）ハッカーと考えられるアノニマスは、「技術的手段で対抗せず、いきなり法的に対抗する」ソニーに対してその関係サイトを攻撃するようになりました。その後、ソニーとホッツ氏は和解したと報道されましたが、その直後、PSNからの情報流出（第一の事件）が発覚し、Sony Online Entertainment (SOE) の情報流出（第二の事件）といたりました。

　※編集部註　ハッカー5類型一覧
　A-type：パイオニア
　B-Type：開発者
　C-type：ネット市民運動
　D-type：犯罪者
　E-type：セキュリティ関係者
　詳しくは連載(1)参照

今回の事件は、インターネット側から、PSNの既知の脆弱性を持っていたアプリケーションサーバが攻撃された結果、不正なプログラムを設置された、また、それは「慎重に計画された高度なサイバー犯罪」であると報道されています。また、気付いたきっかけは「予定外の時刻に各サーバが再起動していた」とされています。

サーバが再起動する原因は二つ考えられます。犯人が失敗をしたのか、或いはわざとやったのかです。わざとやった場合、さらなる侵入に必要だったと考えるのが一般的ですが、私はそうではないと考えています。もし、D-type（犯罪者）の犯行であるならば、再起動は必要ないし余計なものだからです。

そもそも、最近の金銭目的の犯罪者はこのようなサイトから大量の情報を窃取することは減っています。何故ならば実社会の銀行強盗と同じように、発覚した場合のリスクが高すぎるからと考えられます。実際、今回の件でソニーは真っ先にFBIに相談し対応を行っていると報道にあります。世界中のだれもが、金銭が目的でのことで一生涯FBIから追われることになることは避けたいと考えるに違いありません。今回のケースでD-type（犯罪者）の犯行だとすれば、泥棒そのものではなく、株の暴落かライバル株の上昇を狙ったインサイダー目的も考えられますが、可能性としては低いと思います。

そう考えると、私は取りざたされているアノニマスであるかどうかは別にしてC-type（ネット市民運動）の犯行であると推測しています。サイトに大量データを送り込むDDoS攻撃で業務妨害するよりも、赤っ恥をかかせる方が効果的であると考えたとしても不思議ではありません。侵入しソニー内部で業務妨害をしても表に出ることは決してありません。白日の下にさらさせるには、個人情報にアクセスした痕跡を残しておいて、わざとサーバを再起動し、ソニーの管理者に気が付かせたのではないかと思っています。

実際、第二の事件として報道されたSOEでの2,460万件の情報漏えい事件では、「We Are Legion：我々は軍隊である」と書かれた「Anonymous：アノニマス」という名前のファイルが見つかったとあります。管理者がそれと気付くメッセージを何故残したのでしょうか。もし、金銭目的の犯罪者ならば、誰かに罪を着せるために侵入の事実を伝えることはあり得ません。この第二の事件からも、アノニマスかどうかは別としてもC-type（ネット市民運動）の仕業である可能性が高いと考えられます。

ここで意識してほしいことがあります。それは「侵入方法」と「侵入目的」の違いです。独立行政法人情報処理推進機構（IPA）のレポートでも記載されていますが、「侵入方法はロケットエンジン」、「侵入目的は搭載している衛星や爆弾などの荷物」となります。

今回の報道で「アプリケーションサーバの既知の脆弱性を使って不正アクセス」とあるのは、一つの侵入の方法のことを言っているに過ぎません。実際、当社のサイバー救急センターではWebサイトの改ざんや情報流出事件での緊急調査や対応を数多く経験していますが、その中で、調査するきっかけとなった犯人以外の侵入痕跡を見つける事が多々あるという事実があります。つまり、以前から他の方法で侵入されており、事前に管理方法や管理者のパスワードなどが調べ上げられていると推測された例は多いのです。

つまりは、今回見つかった直接的な侵入方法だけを考慮し手当てしても駄目で、その侵入者の目的を把握し、包括的に対策を行わなければなりません。つまり、今回私が見立てた、「事件は金銭的な目的ではなく、企業への信用的ダメージ」であるならば、それは、サイバーテロの「標的」となっていることを意識し、ぐっと変化させなければなりません。

金銭が狙いであり誰でも良いのと、或いはダメージを与えたい標的になっているのとでは、話は全く異なるということです。（つづく）

（株式会社ラック最高技術責任者西本逸郎）

※本稿は2011年5月17日に公表されたレポートに執筆者が一部加筆を行った

【関連リンク】
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (1) 事件の背景にある様々なハッカーの存在
http://scan.netsecurity.ne.jp/archives/51981695.html
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (2) 金銭目的ではない犯行、犯行動機の脅威と変化
http://scan.netsecurity.ne.jp/archives/51981701.html
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (3) 「閉鎖環境だから安全」に疑問符がつく、攻撃手法の考察
http://scan.netsecurity.ne.jp/archives/51981958.html
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (4) 情報開示や対策が的確だったのかを考察
http://scan.netsecurity.ne.jp/archives/51981961.html
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (5) そろそろ発想を変えた対策を考えよう
http://scan.netsecurity.ne.jp/archives/51981965.html

株式会社ラック
http://www.lac.co.jp/
情報流出緊急対策セミナー流出背景と企業が今すぐ実施すべき対策（株式会社ラック）
http://www.lac.co.jp/event/20110602.html
西本逸郎氏 Twitter 公式アカウント
https://twitter.com/dry2
対談：サイバーセキュリティ探偵とサイバーミステリー作家　第1回「企業の生命は事業継続」
http://scan.netsecurity.ne.jp/archives/51947983.html
対談：サイバーセキュリティ探偵とサイバーミステリー作家　第2回「内部犯行の犯人特定」
http://scan.netsecurity.ne.jp/archives/51947984.html