特別寄稿第2弾「ソニーサイバー攻撃の経緯と教訓」(2)事件の経緯--2010年1月 | ScanNetSecurity
2024.05.17(金)

特別寄稿第2弾「ソニーサイバー攻撃の経緯と教訓」(2)事件の経緯--2010年1月

事件の全体像を知るためには2010年まで遡らなければならない。

特集 特集
facebookLINE
事件の全体像を知るためには2010年まで遡らなければならない。

それは2010年1月21日、米国人ハッカーがソニーゲーム機のプレイステーション3( PS3 )を改造、ハッキングしたことから始まる。

米国人ハッカーの George Hotz が、 PS3 をハッキングし、ハードウェアのメモリに対し特権ユーザでアクセスできたことをインターネット上で公表した。

このハッキング行為は、 PS3 発売とともにソニーが展開したプレイステーションネットワーク(PSN)へのハッキング行為とは直接的な関連性はないが、PSNへの入り口である PS3 のセキュリティの一つが破られたということであった。

2010年4月1日ソニーは、脆弱性と著作権保護に対応するという目的で PS3 のファームウェアをアップデートし、もともと機能として備わっていた「その他のOS」のインストール機能を削除した。これに対し George Hotz は反発、その他のOS(Linux)のインストールを可能とする改造ファームウェアv3.21OOを開発・公開した。

また、ソニーのこのアップデートに反発して米国のAnthony Venturaがもともと存在していた機能を削除することは契約違反であるとして、Sony Computer Entertainment America(SCEA)を相手取り集団訴訟を起こしている。

このソニーの対応は、Linux等の他のOSを使用していた者を締め出すことになり、一部のコアなファン(深く使いこなしているファン)を裏切る結果となった。

2011年1月2日、 George Hotz がハッカーグループ Fail0verflow と協力し PS3 のJailBreak(セキュリティ上の制限の解除)を成功させ、任意のプログラムの動作を可能とさせるツールを公開した。これによって、自由に PS3 で動作するソフトを開発することができ、閉鎖された PS3 のシステムのセキュリティが破られる結果となった。

2011年1月11日、ソニーは、 George Hotz を含む PS3 のハッカーグループ Fail0verflow のメンバ100人に対して提訴した。これは、ハッキングで得た解析情報の提供と、今後はハッキング情報をインターネット上に公開しないよう求めたものである。

ソニーは PS3 へのハッキング行為を法的手段で対抗する強硬姿勢を示したことで、ゲームユーザ、ハッカーの反発心を養う結果となった。

2011月2月17日、Sony Computer Entertainment Japanは、 PS3 の不正ソフトウェア使用に関する警告を発表した。警告は、その不正ソフトウェアの使用が判明した場合、今後プレイステーションネットワークへの接続ができなくすることを示唆するものである。

2011年2月24日、ソニーは、 PS3 での LinuxOS の使用方法をインターネット上に公開していたドイツ人ハッカー Alexander Egorenkov (ハンドルネーム graf_chokolo )に対して、法的な警告をした。

ソニーのハッカーに対する強硬な姿勢は、世界的に及んだ。訴えられた Alexander Egorenkov もまた PS3 の LinuxOS 使用を強く求める一人であった。

2011年3月、SCEAが米連邦治安判事に訴えた「2009年1月から、PS3のハッキング情報を公開していた George Hotz のサイトを、閲覧した者のIPアドレス等の情報をプロバイダに請求する」という要請が承認された。

ソニーは、 PS3 へのハッキング情報を封じ込めるため、ハッキングサイトの閲覧者を把握する目的のためか、個人情報の一つともいうべきIPアドレスの公表を求めた。

言うまでもなく、これには多くのゲームユーザだけでなく、多くのインターネットユーザの反発を生み、プライバシー保護や、情報取得の自由を強く掲げる Anonymous が行動するトリガとなったと思われる。

2011年4月3日ハッカーコミュニティの Anonymous が、それまでのハッカーに対するソニーの姿勢を強く反発し Operation Sony(#OpSony)としたソニーへの攻撃作戦を行うことを表明し、2011年4月4日から5日 DDoS 攻撃ツールを用いて PlayStation 関連の複数のサイトを攻撃し、サイトが閲覧できないなどの障害が発生した。

またソニー従業員(特に、経営層の役員)やその家族の個人情報を公開するという doxing という嫌がらせ行為を実施した。

攻撃は、インターネット上のWebサイトに対するDDoS攻撃や嫌がらせ行為が主であり PSN に対する攻撃を示唆するものはなかった。

2011年4月11日、カリフォルニア連邦裁判所で SCEA が George Hotz を訴訟していた問題で、同年3月31日に和解に同意したこと発表した。

これによってソニーはハッカーを屈服させることに成功しこれをもって本件の終息を狙ったのかもしれない。

4月16日から4月17日にかけて、 Anonymous は、Sony Store の店舗において座り込みなどの抗議活動を Facebook 上で呼びかけをし、実際に抗議活動が実施され、中には営業を取りやめた店舗もあった。

これは、Anonymous がサイバー攻撃とともに行う手段の一つで Facebook 等で抗議活動を扇動し、不特定多数に嫌がらせを呼び掛けるものである。

4月17日から4月19日にかけて、PlayStation Network、Qriocity が不正アクセスを受け。同サービスのユーザ登録に必要となる名前、住所、生年月日、eメールアドレス、その他の個人情報約7,700万アカウントが侵害された。

これが、ソニーに対するサイバー攻撃の本攻撃である。かつてない程の個人情報が漏えいした。

(株式会社サイバーディフェンス研究所 上級分析官 名和 利男)

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  2. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  3. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  4. 個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

    個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

  5. 検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

    検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

  6. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

    認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とはPR

  7. 脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

    脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

  8. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  9. 「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

    「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

  10. スマートフォンアプリ「OfferBox」に秘密鍵がハードコードされている問題

    スマートフォンアプリ「OfferBox」に秘密鍵がハードコードされている問題

ランキングをもっと見る
ホーム 特集 特集 記事
TOP