ソニー、ハッカーとの暗闘　脆弱だった「プレステネット」

ソニーが26日に発表したオンラインサービスからの個人情報流出は、世界で7700万人分と過去最大規模になる可能性が高まった。グループ会社が運営する映画や音楽、ゲームソフトなどのインターネット配信サービスの会員情報が不正アクセスによって漏洩したもようで、ハッカー集団の関与が取り沙汰されている。ソニーとハッカーとの間では今年に入ってから暗闘が繰り広げられており、比較的安全とされていたゲーム機を使った配信サービスの脆弱性が明らかになった。

ソニーの米国統括会社によると、ソニー・コンピュータエンタテインメント（SCE）が運営するプレイステーション向けのオンラインサービス「Play Station Network（プレイステーションネットワーク、PSN）」と、映像・音楽配信サービス「Qriocity（キュリオシティ）」のアカウント情報が、17日から19日にかけて、不正アクセスによって流出した可能性があるという。

漏洩した情報は、氏名、住所、電子メールアドレス、生年月日、PSNパスワードとIDなど、ハッカーが入手した可能性があるものとして購入履歴などの情報もあげている。肝心のクレジットカード番号に関しては、「（ハッカーが）入手した可能性を完全に否定はできませんが、現時点ではそれを示す形跡は見つかっておりません」（ソニー）としている。

PSNのユーザーは3月20日現在で7700万人（北米3600万人、欧州3200万人、日本を含むアジアが900万人）。そのうち、何件のユーザー情報が流出したのかSCEは明らかにしていないが、仮に全員の情報が漏れたとなると、2005年のデータ処理会社米CardSystemsから約4000万人のカード情報が流出した事件を越え、個人情報の流出事件としては過去最大のものになる。

実はSCEは今年に入って、ハッカーグループとの争いに巻き込まれており、事件の背景にはこの問題が関係していると考えられる。

1月に「iPhone」をハッキングして自由にソフトをインストールできる技術を開発していたことで有名なハッカーのジョージ・ホッツ氏が、「『プレイステーション3（PS3）』のハッキングに成功した」と自身のブログで公表した。PS3は一般には開発環境が公開されていないが、ホッツ氏は自分で開発したプログラムを同機に取り込める方法を公開したことで、ハッカーたちは続々とPS3向けプログラムを公開していった。

SCEの対抗策は素早かった。即座に米国でホッツ氏などを知的財産権侵害で訴えたほか、ホッツ氏のウェブサイト、ツイッターのアカウントなどにアクセスした人物を明らかにするため、IPアドレスの公開を連邦裁判所に請求。裁判所は3月にこれを認め、ネット上におけるホッツ氏のプライバシーは存在しないも同然になってしまった。

　対するハッカー側も黙ってはいない。「アノニマス（Anonymous、匿名の意味）」と呼ばれるグループは、4月3日に公式サイトで「＃OpSony」というプロジェクトを立ち上げ、ソニーによる「ハッカー封じ」の動きに抗議するため、サイバー攻撃を行うことを明らかにした。

この集団の正体についてはわかっていない部分も多いが、世界中に散らばっているハッカーの活動家たちの集まりだと考えられている。昨年11月に告発サイトのウィキリークスが米国の外交公電を流出させた際に、ウィキリークスへのサービスを停止したクレジットカード会社などのサイトを攻撃したグループだ。特殊なプログラムを使ってサーバーに大量のデータを送りつけて妨害する「DoS攻撃」によってサイトを機能不全に陥れることで抗議行動を展開している。ウィキリークスの事件では、最終的に攻撃に参加したのは数千人規模とも言われている。

SCEのネット配信サービスも、4月3日から4日にかけて、出所不詳のサイバー攻撃によって複数のサイトがダウンしてしまった。

SCEは4月11日、米国の公式サイトを通じて、3月31日にホッツ氏がハッキングプログラムの永久差し止め命令に同意したことで和解に達していたことを明らかにしている。しかし、「アノニマス」はこのソニー側による「決着宣言」に納得しなかったようで、動画サイトのユーチューブに「より大きな攻撃を行う」という趣旨の声明をアップロードした。

ハッカー側の活動はさらに先鋭化していく。4月16日には、米情報サイトで匿名のハッカーが「SCEが（配信サービスの）PSNをどのように管理しているのか」についての詳細な情報を明らかにした。SCEがユーザーの行動をすべて監視していたり、クレジットカードの情報をテキストファイルとして送信していたり、収集した情報がオンラインのサーバ上に置かれていたりといった内容だ。これは、ハッカーがPSNについて詳細な解析を着々と進めていたことを示している。

そして21日。再び障害によってPSNが利用できなくなるという状況に陥り、現在まで続いている。SCEの公式サイトでは障害の理由について「外部要因とみられる影響」と釈明しており、外部のハッカーによる侵入を暗に認めていた。

24日、アノニマスは「ソニーの無力に対し、われわれは何もしていない」とのコメントを発表し、自分たちはPSNの障害に関わっていないと主張した。アノニマスという組織の全貌が分かっていない現在、本当に関与していないのかどうかは確かめようがないが、これまでの「ソニー対ハッカー」の暗闘の経緯を見る限り、何らかの影響を及ぼしている可能性はある。

ハッカーの暗躍以外に、今回の事件で分かったことがもう一つある。家庭用ゲーム機によって構成されるネットワークが、パソコンのネットに比べて比較的安全であるという「常識」が覆されたことだ。パソコンは技術がオープンなため、システムの改変や侵入が容易だが、各社固有の技術によって開発されたゲーム機は公開されていない仕様が多く、攻撃が難しいとされてきた。しかし、意外にも脆弱な側面が見えてしまった。

　オンラインゲームの世界では、ウイルスなどを利用してクレジットカード番号を盗み出すケースは少なくない。一方、家庭用ゲーム機はウィルスに感染するようなプログラムの操作が難しいため、個人情報が流出する可能性は極めて低い。専用ハードを通じてユーザーが触ることができるレベルを制限することで、全体のサービスの安全性を確保する方法ともいえる。

またパソコン向けのオンラインゲームの場合、元々盗まれていたクレジットカード番号で他人になりすまして利用するというケースも一般的に見られる。ただ、PSNの場合、不正利用するとハード（ゲーム機）そのものが恒久的にPSNを使えなくなる可能性があるため、一定の抑止力を発揮してきた。

今回の情報流出では、ハッカーがサーバーに不正侵入し、ユーザー情報を管理しているデータベースから情報を取り出したことは間違いないだろう。いくらハードそのものが外部からの侵入に対して堅牢であっても、それを管理するサーバーの防御壁が破られてしまうと元も子もない。

米アップルや米マイクロソフト（MS）もネット配信の仕組みを持っているが、両社とも基本ソフト（OS）から開発しているため、セキュリティーに対する意識はきわめて高い。「ソニーはOSやソフトの安全性にやや脇が甘かったのではないか」と指摘するIT（情報技術）業界の関係者も少なくない。

今後、被害がどのくらい広がるかは、クレジットカード情報の流出の有無などにかかっている。仮にカード情報が漏れていなくても、購入履歴に結びつけたユーザー情報は、貴重なデータの宝庫でもある。現時点でユーザー側にできることは限られている。SCEの勧めに従って、PSNが復旧した後に、パスワードの変更を行い、クレジットカードの引き落とし履歴を定期的に確認するといったことくらいしかできない。

ゲーム機など家庭のネットワーク端末を使ってコンテンツ（情報の内容）を購入するサービスが今後、広がっていくのは確実だ。アップル、MS、任天堂なども自社端末によって同様の事業モデルを構築、収益機会の拡大を目指している。

そんななか、SCEは配信サービスへの信頼を回復できるのだろうか。不正侵入者はだれで、どのようなルートをたどって情報を流出させたのか――。過去の情報流出のケースを見る限り、それらのすべてを明らかにするのは難しいかもしれないが、今回の事件は電子商取引全体に対する警鐘でもある。サーバーへの不正侵入によってデータを奪われたり、悪意を持った不特定のハッカーグループによる攻撃によって、何日もサービスが停止したりするリスクは常に存在する。インターネットサービスを取り巻く、現代の致命的な脆さの一つでもある。