特別寄稿第2弾「ソニーサイバー攻撃の経緯と教訓」(2)事件の経緯--2010年1月 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.19(火)

特別寄稿第2弾「ソニーサイバー攻撃の経緯と教訓」(2)事件の経緯--2010年1月

特集 特集

事件の全体像を知るためには2010年まで遡らなければならない。

それは2010年1月21日、米国人ハッカーがソニーゲーム機のプレイステーション3( PS3 )を改造、ハッキングしたことから始まる。

米国人ハッカーの George Hotz が、 PS3 をハッキングし、ハードウェアのメモリに対し特権ユーザでアクセスできたことをインターネット上で公表した。

このハッキング行為は、 PS3 発売とともにソニーが展開したプレイステーションネットワーク(PSN)へのハッキング行為とは直接的な関連性はないが、PSNへの入り口である PS3 のセキュリティの一つが破られたということであった。

2010年4月1日ソニーは、脆弱性と著作権保護に対応するという目的で PS3 のファームウェアをアップデートし、もともと機能として備わっていた「その他のOS」のインストール機能を削除した。これに対し George Hotz は反発、その他のOS(Linux)のインストールを可能とする改造ファームウェアv3.21OOを開発・公開した。

また、ソニーのこのアップデートに反発して米国のAnthony Venturaがもともと存在していた機能を削除することは契約違反であるとして、Sony Computer Entertainment America(SCEA)を相手取り集団訴訟を起こしている。

このソニーの対応は、Linux等の他のOSを使用していた者を締め出すことになり、一部のコアなファン(深く使いこなしているファン)を裏切る結果となった。

2011年1月2日、 George Hotz がハッカーグループ Fail0verflow と協力し PS3 のJailBreak(セキュリティ上の制限の解除)を成功させ、任意のプログラムの動作を可能とさせるツールを公開した。これによって、自由に PS3 で動作するソフトを開発することができ、閉鎖された PS3 のシステムのセキュリティが破られる結果となった。

2011年1月11日、ソニーは、 George Hotz を含む PS3 のハッカーグループ Fail0verflow のメンバ100人に対して提訴した。これは、ハッキングで得た解析情報の提供と、今後はハッキング情報をインターネット上に公開しないよう求めたものである。

ソニーは PS3 へのハッキング行為を法的手段で対抗する強硬姿勢を示したことで、ゲームユーザ、ハッカーの反発心を養う結果となった。

2011月2月17日、Sony Computer Entertainment Japanは、 PS3 の不正ソフトウェア使用に関する警告を発表した。警告は、その不正ソフトウェアの使用が判明した場合、今後プレイステーションネットワークへの接続ができなくすることを示唆するものである。

2011年2月24日、ソニーは、 PS3 での LinuxOS の使用方法をインターネット上に公開していたドイツ人ハッカー Alexander Egorenkov (ハンドルネーム graf_chokolo )に対して、法的な警告をした。

ソニーのハッカーに対する強硬な姿勢は、世界的に及んだ。訴えられた Alexander Egorenkov もまた PS3 の LinuxOS 使用を強く求める一人であった。

2011年3月、SCEAが米連邦治安判事に訴えた「2009年1月から、PS3のハッキング情報を公開していた George Hotz のサイトを、閲覧した者のIPアドレス等の情報をプロバイダに請求する」という要請が承認された。

ソニーは、 PS3 へのハッキング情報を封じ込めるため、ハッキングサイトの閲覧者を把握する目的のためか、個人情報の一つともいうべきIPアドレスの公表を求めた。

言うまでもなく、これには多くのゲームユーザだけでなく、多くのインターネットユーザの反発を生み、プライバシー保護や、情報取得の自由を強く掲げる Anonymous が行動するトリガとなったと思われる。

2011年4月3日ハッカーコミュニティの Anonymous が、それまでのハッカーに対するソニーの姿勢を強く反発し Operation Sony(#OpSony)としたソニーへの攻撃作戦を行うことを表明し、2011年4月4日から5日 DDoS 攻撃ツールを用いて PlayStation 関連の複数のサイトを攻撃し、サイトが閲覧できないなどの障害が発生した。

またソニー従業員(特に、経営層の役員)やその家族の個人情報を公開するという doxing という嫌がらせ行為を実施した。

攻撃は、インターネット上のWebサイトに対するDDoS攻撃や嫌がらせ行為が主であり PSN に対する攻撃を示唆するものはなかった。

2011年4月11日、カリフォルニア連邦裁判所で SCEA が George Hotz を訴訟していた問題で、同年3月31日に和解に同意したこと発表した。

これによってソニーはハッカーを屈服させることに成功しこれをもって本件の終息を狙ったのかもしれない。

4月16日から4月17日にかけて、 Anonymous は、Sony Store の店舗において座り込みなどの抗議活動を Facebook 上で呼びかけをし、実際に抗議活動が実施され、中には営業を取りやめた店舗もあった。

これは、Anonymous がサイバー攻撃とともに行う手段の一つで Facebook 等で抗議活動を扇動し、不特定多数に嫌がらせを呼び掛けるものである。

4月17日から4月19日にかけて、PlayStation Network、Qriocity が不正アクセスを受け。同サービスのユーザ登録に必要となる名前、住所、生年月日、eメールアドレス、その他の個人情報約7,700万アカウントが侵害された。

これが、ソニーに対するサイバー攻撃の本攻撃である。かつてない程の個人情報が漏えいした。

(株式会社サイバーディフェンス研究所 上級分析官 名和 利男)
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

  10. [数字でわかるサイバーセキュリティ] FormBook、圧縮ファイル添付攻撃で日本も上位10位内の標的国に

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×