ソニーに何が起きたのか――ハッカーとの暗闘の末に史上最大規模の個人情報流出

ソニーが、ネットワークビジネス史上最大最悪規模に発展する恐れがある個人情報流出事件で窮地に立たされている。

同社の人気ゲーム機「プレイステーション3(PS3)」向けのオンライン・サービス(PSN)と、動画・楽曲配信サービスの「キュリオシティ」の システムにハッカーの不正侵入による重大なセキュリティ侵害があったと判明したのは、4月後半。ソニーは5月1日になって記者会見を開き、最大約7700 万人の個人情報(利用者の氏名、住所、生年月日、メールアドレス、ユーザーID、パスワード)が漏洩したと発表した(さらに確認はできていないものの、最 大約1000万枚分のクレジットカード番号と有効期限日が流出した可能性も排除できないとしている)。

ところが、それから1週間も経たないうちに、今度はパソコン向けオンラインゲームを運営している別の米国子会社、ソニー・オンラインエンタテイン メント(SOE)もハッカーの不正侵入を受けて、個人情報が流出した恐れがあると発表した。しかも、一部報道によれば、この情報流出は、先に判明した不正 侵入の前日に発生したものだ。

SOEには2460万件の個人情報登録があるが、そのうち新たに流出した恐れがある情報には、古いデータベースにあったという約1万2700件の 米国外の利用者のクレジットカード情報のほか(日本国内はそのうち4300件)、1万件を超えるデビットカード情報が含まれるという。延べ1億人を超える かという途方もないスケールの個人情報流出事件に発展したのだ。

これを受けて、震源地のここアメリカでは、当然ながら、ソニーへの批判が一気に高まっている。それは、セキュリティの脆弱性という当たり前のものを除くと、大きく以下の二つに分類できる。

ひとつは、セキュリティ侵害について、その事実を利用者にすぐさま伝えなかったことだ。4月20日にふたつのサイトがいきなり閉鎖され、ほぼ1週 間後までソニー側から本当の原因は明らかにされなかった。正式な記者会見が開かれたのは、前述のとおり5月1日の日曜日(日本時間)。米国の上院議員らが ソニーに情報開示の圧力をかけた後だったこともあり、米国民に情報隠蔽の印象を強く残してしまった。

もうひとつの批判は(特にネット世界の怖さを知るここアメリカのテクノロジー業界関係者から聞かれるものだが)綺麗ごとでは済まないハッカー世界との付き合い方の稚拙さである。


page: 2

じつはソニーは今年1月、あるハッカーを提訴している。名前はジョージ・ホッツ(George Hotz)。アメリカ東海岸在住で、ハンドリング・ネーム「geohot」として知られる若干21歳の若者だ。

ホッツは、iPhoneを指定の通信キャリア以外でも使えるようにする「ジェイルブレイク(Jailbreak 直訳すれば「脱獄」、転じてセキュリティ ホールなどを突いてコンピュータ機器に設けられた制限を外し、開発会社らの認可を受けてないソフトウェアを動作可能な状態にすること)のパイオニアとして ハッカーコミュニティーでは有名な人物だ。今回も、プレイステーションをジェイルブレイクして、お手製のゲームを走らせようとしたことで、ソニーに目を付 けられたのだ。

ここで気をつけたいのは、「ハッカー」とひと口に言っても、さまざまなタイプの人間がいることである。

共 通するのはコンピュータに関する深い知識だが、ただひらすら悪意を持って悪事を働く人もいれば、ネットの黎明期によく見られた義侠心の強い(不正侵入に よって、わざとセキュリティホールの存在を知らせる)タイプもいる。あるいは「言論の自由」や「自分のデバイスなのだから、何をやってもいいはず」という 信条を持つ人もいる。ホッツは、恐らく3番目のタイプだろう。企業が一般消費者の自由を束縛するのは許せないと考えるタイプである。

iPhoneのジェイクブレイクはその後、デジタルミレニアム著作権法(DMCA)の対象外となり、違法ではなくなったが、プレイステーションは手を加えて改造すると、今でもDMCAに抵触する。ソニーは、これを楯にホッツを訴えたのである。

ホッツは、自分の弁護士料を集めようとネットに向かって懇願した。ユーチューブにも動画を上げ、まだ20歳そこそこのあどけない顔で、寄付をしてほしいと懸命に訴えた。これに多くの人々が応え、10ドル単位の寄付をしたが、団結して立ち上がったのは、本連載でも過去に取り上げたあの「アノニマス(Anonymous)」だった。

アノニマスは、「インターネットの自由」を標榜するハッカーたちの集団である。しっかりとした組織はなく、必要に応じて世界中のハッカーが集まり、自在に 組織化される謎の集団である。だが、意図するところは、ホッツと同様、インターネット上の言論の自由や人権の保護であり、中東・北アフリカに吹き荒れる民 主化運動でも、体制側のサイトにDDoS攻撃(標的サイトに大量のデータを送信し機能を停止させる「分散型サービス拒否攻撃」)を仕掛けるなど存在感を示 している(ちなみに、昨年秋、外交公電を暴露したウィキリークスが大手企業から寄付金集めやサーバー利用のサービスを打ち切られると、ウィキリークス擁護 のための「オペレーション・ペイバック」を立ち上げ、それらの大手企業のサイトに攻撃を仕掛けた)。

彼らは今回もホッツ擁護に回り、ソニーにDDoS攻撃を仕掛けると脅し「オペレーション・ソニー」を宣言。また、一部の役員たちの名前や家族構成などをネット上に流したりして、攻撃を始めたのである。


page: 3

そうこうするあいだに、ソニーとホッツは、ホッツがいかなるソニー機器へのジェイルブレイクも行わないことを条件に和解へ。アノニマスの怒りも納まったはずだった。

ところが、この流出事件である。

この不正侵入が、ホッツやアノニマスのハッカー行動と異なるのは、サーバーに侵入して個人情報を盗み出していることである。これは、デバイスのジェイルブレイクやサイトへの攻撃とは本質的に目的が異なるものであり、極端に攻撃的な悪意が込められている。

ソニー側も、今回の不正侵入はアノニマスに結びつくものではないとしている。しかし、ハッカーたちのそうとうな怒りを買っていた可能性は高い。

「そ もそもホッツのようなタイプのハッカーを訴えたこと自体がまずかったし、ホッツのビデオを鑑賞したり、寄付をしたりしたハッカーたちを突き止めるよう当局 に依頼しているのはもっとまずい。ハッカー社会との全面的な対決姿勢が、今回の大きな事件の引き金を引いてしまったのではないか」――。それが、アメリカ のテクノロジー業界の多くの有識者たちの見方だ。

もちろん、悪事は悪事であり、法に照らして罰せらるべきは罰せられるべきである。だが、 ソニーが綺麗ごとでは済まない細心の注意が必要な問題のハンドリングを、大企業然とした硬直的なアプローチで誤った可能性は否めない。それとも、企業は、 サイバー世界では無力でしかないのだろうか。

引用元: ソニーに何が起きたのか――ハッカーとの暗闘の末に史上最大規模の個人情報流出|ビジネスモデルの破壊者たち|ダイヤモンド・オンライン.

コメント

タイトルとURLをコピーしました