特別寄稿第2弾「ソニーサイバー攻撃の経緯と教訓」(2)事件の経緯--2010年1月 | ScanNetSecurity
2024.04.29(月)

特別寄稿第2弾「ソニーサイバー攻撃の経緯と教訓」(2)事件の経緯--2010年1月

事件の全体像を知るためには2010年まで遡らなければならない。

特集 特集
facebookLINE
事件の全体像を知るためには2010年まで遡らなければならない。

それは2010年1月21日、米国人ハッカーがソニーゲーム機のプレイステーション3( PS3 )を改造、ハッキングしたことから始まる。

米国人ハッカーの George Hotz が、 PS3 をハッキングし、ハードウェアのメモリに対し特権ユーザでアクセスできたことをインターネット上で公表した。

このハッキング行為は、 PS3 発売とともにソニーが展開したプレイステーションネットワーク(PSN)へのハッキング行為とは直接的な関連性はないが、PSNへの入り口である PS3 のセキュリティの一つが破られたということであった。

2010年4月1日ソニーは、脆弱性と著作権保護に対応するという目的で PS3 のファームウェアをアップデートし、もともと機能として備わっていた「その他のOS」のインストール機能を削除した。これに対し George Hotz は反発、その他のOS(Linux)のインストールを可能とする改造ファームウェアv3.21OOを開発・公開した。

また、ソニーのこのアップデートに反発して米国のAnthony Venturaがもともと存在していた機能を削除することは契約違反であるとして、Sony Computer Entertainment America(SCEA)を相手取り集団訴訟を起こしている。

このソニーの対応は、Linux等の他のOSを使用していた者を締め出すことになり、一部のコアなファン(深く使いこなしているファン)を裏切る結果となった。

2011年1月2日、 George Hotz がハッカーグループ Fail0verflow と協力し PS3 のJailBreak(セキュリティ上の制限の解除)を成功させ、任意のプログラムの動作を可能とさせるツールを公開した。これによって、自由に PS3 で動作するソフトを開発することができ、閉鎖された PS3 のシステムのセキュリティが破られる結果となった。

2011年1月11日、ソニーは、 George Hotz を含む PS3 のハッカーグループ Fail0verflow のメンバ100人に対して提訴した。これは、ハッキングで得た解析情報の提供と、今後はハッキング情報をインターネット上に公開しないよう求めたものである。

ソニーは PS3 へのハッキング行為を法的手段で対抗する強硬姿勢を示したことで、ゲームユーザ、ハッカーの反発心を養う結果となった。

2011月2月17日、Sony Computer Entertainment Japanは、 PS3 の不正ソフトウェア使用に関する警告を発表した。警告は、その不正ソフトウェアの使用が判明した場合、今後プレイステーションネットワークへの接続ができなくすることを示唆するものである。

2011年2月24日、ソニーは、 PS3 での LinuxOS の使用方法をインターネット上に公開していたドイツ人ハッカー Alexander Egorenkov (ハンドルネーム graf_chokolo )に対して、法的な警告をした。

ソニーのハッカーに対する強硬な姿勢は、世界的に及んだ。訴えられた Alexander Egorenkov もまた PS3 の LinuxOS 使用を強く求める一人であった。

2011年3月、SCEAが米連邦治安判事に訴えた「2009年1月から、PS3のハッキング情報を公開していた George Hotz のサイトを、閲覧した者のIPアドレス等の情報をプロバイダに請求する」という要請が承認された。

ソニーは、 PS3 へのハッキング情報を封じ込めるため、ハッキングサイトの閲覧者を把握する目的のためか、個人情報の一つともいうべきIPアドレスの公表を求めた。

言うまでもなく、これには多くのゲームユーザだけでなく、多くのインターネットユーザの反発を生み、プライバシー保護や、情報取得の自由を強く掲げる Anonymous が行動するトリガとなったと思われる。

2011年4月3日ハッカーコミュニティの Anonymous が、それまでのハッカーに対するソニーの姿勢を強く反発し Operation Sony(#OpSony)としたソニーへの攻撃作戦を行うことを表明し、2011年4月4日から5日 DDoS 攻撃ツールを用いて PlayStation 関連の複数のサイトを攻撃し、サイトが閲覧できないなどの障害が発生した。

またソニー従業員(特に、経営層の役員)やその家族の個人情報を公開するという doxing という嫌がらせ行為を実施した。

攻撃は、インターネット上のWebサイトに対するDDoS攻撃や嫌がらせ行為が主であり PSN に対する攻撃を示唆するものはなかった。

2011年4月11日、カリフォルニア連邦裁判所で SCEA が George Hotz を訴訟していた問題で、同年3月31日に和解に同意したこと発表した。

これによってソニーはハッカーを屈服させることに成功しこれをもって本件の終息を狙ったのかもしれない。

4月16日から4月17日にかけて、 Anonymous は、Sony Store の店舗において座り込みなどの抗議活動を Facebook 上で呼びかけをし、実際に抗議活動が実施され、中には営業を取りやめた店舗もあった。

これは、Anonymous がサイバー攻撃とともに行う手段の一つで Facebook 等で抗議活動を扇動し、不特定多数に嫌がらせを呼び掛けるものである。

4月17日から4月19日にかけて、PlayStation Network、Qriocity が不正アクセスを受け。同サービスのユーザ登録に必要となる名前、住所、生年月日、eメールアドレス、その他の個人情報約7,700万アカウントが侵害された。

これが、ソニーに対するサイバー攻撃の本攻撃である。かつてない程の個人情報が漏えいした。

(株式会社サイバーディフェンス研究所 上級分析官 名和 利男)

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  5. 重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

    重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

  6. TvRock にサービス運用妨害(DoS)と CSRF の脆弱性

    TvRock にサービス運用妨害(DoS)と CSRF の脆弱性

  7. NETGEAR 製ルータにバッファオーバーフローの脆弱性

    NETGEAR 製ルータにバッファオーバーフローの脆弱性

  8. NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

    NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

  9. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  10. 札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

    札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

ランキングをもっと見る
ホーム 特集 特集 記事
TOP