特別寄稿第2弾「ソニーサイバー攻撃の経緯と教訓」(3)事件の経緯--世界に拡がる攻撃
2011年5月1日、ソニーは、本件について記者会見を行い、不正侵入を招いた原因についてサーバに欠陥があったことを認め「ハッカーが正常な動作として侵入したため検知出来なかった」と説明した。
特集
特集
この記者会見では、攻撃を全く想定していなかったとことと、サーバに脆弱性が存在した事、及び Anonymous に関連するフレーズが印象に残るものであった。
ソニーの記者会見後、5月、6月の間に便乗ハッカーによる情報搾取及び、サイト改ざんなどが世界的に行われた。
そして、ハッカーグループの LulzSec、Idahc 及び不特定のハッカーが積極的に攻撃を行い、搾取した情報をネット上に公開した。
目的が定かではなく、一種の遊びを彷彿されるものばかりである。
以下攻撃されたサイトを羅列する。
2011年5月3日、Sony Online Entertainment に対する不正アクセスにより、約10,700件のオーストリア、ドイツ、オランダ、スペイン在住顧客のダイレクトデビットカード情報、及び約10,700件のオーストリア、ドイツ、オランダ、スペイン在住顧客のダイレクトデビットカード情報が侵害されたことを発表した。
2011年5月19日、ソニーのグループ企業のソネットエンタテインメントは、インターネット接続サービス(so-net)の会員のID/パスワードを用いた第三者による不正アクセスによって、ゲームなどコンテンツと交換できる利用者のポイント約10万円分が盗まれたことを明らかにした。
2011年5月20日、タイのソニーのサイトが、ハッカーによって改ざんされ、イタリアのクレジットカード会社をターゲットにしたフィッシングサイトとして利用された。
2011年5月21日、Sony Music Indonesia のWebサイトが k4L0ng666 を名乗る者によって改竄された。
2011年5月22日、ギリシャのソニーBMG(sonymusic.gr)に登録されたユーザの情報(ユーザー名、氏名、メールアドレス)が、何者かによって外部のサイトにアップロードされ情報流出が明らかになった。また b4d_vipera を名乗るハッカーが同Webサイトを改ざんした。
2011年5月25日、ソニーミュージックエンタテインメント(Japan)(sonymusic.co.jp)がハッカーグループの LulzSec によってハッキングされ、データベース情報(テーブル名、フィールド名リスト)がネット上に公開された。
2011年5月25日、レバノンのハッカーを名乗る Idahc が、英国 Sony Ericsson Mobile Communications のカナダ法人のECサイト(http://ca.eshop.sonyericsson.com/)に対してハッキングをし、2,000ほどのユーザ情報(パスワードのハッシュ、Eメール、氏名)を搾取し、ネット上に公開した。
2011年6月2日、ハッカーグループ LulzSec がSony Pictures(Sonypictures.com)に対してハッキングを行い、ユーザ情報(生年月日、住所、電子メールアドレス、氏名、パスワード、ユーザID、電話番号)を搾取しネット上に公開した。
2011年6月2日、ハッカーグループ LulzSec が Sony BMG Belgium (sonymusic.be)に対してハッキングを行いサイト管理者のID・パスワード、電子メールアドレス及び、データベース情報をネット上に公開した。
2011年6月2日、ハッカーグループ LulzSec が Sony BMG Netherlands (Sonybmg.nl)に対してハッキングを行い、ユーザID及びパスワードをネット上に公開した。
2011年6月3日、レバノンのハッカーグループ Idahc が Sony Europe (apps.pro.sony.eu)に対してハッキングを行いユーザ名、パスワード、携帯電話番号、電子メールアドレスをネット上に公開した。
2011年6月5日、Sony Pictures Russia(www.sonypictures.ru) に対して何者かがハッキングを行い、データベース情報をネット上に公開した。
2011年6月6日レバノンのハッカーグループ Idahc が Sony music Portugal(www.sonymusic.pt)に対してハッキングを行いユーザのものと思われる電子メールアドレスをネット上公開した。
2011年6月20日レバノンのハッカーグループ Idahc 及び Auth3ntiq が共同で SonyPictures France(www.sonypictures.fr)に対しハッキングを行い管理者パスワードと、登録ユーザと思われるメールアドレスをネット上に公開した。
(株式会社サイバーディフェンス研究所 上級分析官 名和 利男)
《ScanNetSecurity》