ソニー傘下のPlayStationブランドを運営するソニー・インタラクティブエンタテインメント(SIE)が、従業員および元従業員の個人情報が漏えいしたことを認めました。報道によると約6800人分の個人情報が漏えいしており、SIEは関係者にデータが流出したことを通知しているそうです。

Sony confirms data breach impacting thousands in the U.S.

https://www.bleepingcomputer.com/news/security/sony-confirms-data-breach-impacting-thousands-in-the-us/



Sony confirms server security breaches that exposed employee data - The Verge

https://www.theverge.com/2023/10/5/23905370/sony-interactive-entertainment-security-breach-confirmation

2023年5月に発見されたファイル転送サービス・MOVEit Transferに存在するゼロデイ脆弱性の「CVE-2023-34362」は、リモートでのコード実行につながる重大度の高いSQLインジェクション関連の欠陥です。この脆弱性を悪用したランサムウェアグループのCl0pが、2023年6月に数百社の企業に「機密情報を暴露する」と脅迫していたことが報じられています。

ランサムウェアグループ「Cl0p」が数百社の企業に機密情報を暴露すると恐喝の最後通告、BBCや航空会社なども脅迫され超大型事件に発展し期限切れが迫る - GIGAZINE



その後、Cl0pは2023年6月下旬にソニーグループを被害者リストに追加しましたが、ソニーはこのランサムウェア攻撃について公式声明を出していませんでした。





報道によると、ソニーがCl0pにシステムを侵害されたのは2023年5月28日で、MOVEit Transferの開発元であるProgress Softwareからゼロデイ脆弱性の存在を知らされたのはその3日後である5月31日だったそうです。

ソニーがデータ流出の被害にあった従業員向けに送った通知には、「2023年6月2日、当社は不正なデータダウンロードの痕跡を発見し、直ちにプラットフォームをオフラインにして脆弱性を修復しました」と記されている模様。その後、ソニーは外部のサイバーセキュリティ専門家の支援を受けて調査を開始しており、法執行機関にも今回のデータ侵害について連絡を行っていると説明しています。

なお、ソニーは今回のデータ侵害の影響を受けたのは特定のソフトウェアプラットフォームのみで、他のシステムには影響がなかったとのことです。

アメリカ・メイン州の司法長官事務所の公式サイトによると、今回のデータ侵害の被害者総数は6791人で、このうちメイン州の住民の数は4人だそうです。

Office of the Maine AG: Consumer Protection: Privacy, Identity Theft and Data Security Breaches

https://apps.web.maine.gov/online/aeviewer/ME/40/8b595be6-d1d7-47df-84d5-05738edd84f9.shtml



これとは別に、 ランサムウェアグループ「Ransomed.vc」がソニーのあらゆるシステムをハッキングしたと主張しており、ソニーの社内ログインページのスクリーンショット、テストベンチマークの詳細を概説するPowerPointで作成された社内プレゼンテーション資料、複数のJavaファイルなど、ソニーの保有する6000個のファイルにアクセスすることができると主張しています。

「ソニーのあらゆるシステムをハッキングした」とランサムウェアグループが主張 - GIGAZINE



上記のセキュリティ侵害について、ソニーの広報担当者は「当社に関するセキュリティインシデント関連の最新の主張について調査を進めています。当社はサードパーティーのフォレンジック専門家と協力して、エンターテインメント・テクノロジー・サービス関連ビジネスの内部テストに使用されている日本にある単一サーバー上のアクティビティを特定しました。調査が進行中であるため、このサーバーをいったんオフラインにしています。現時点では、顧客やビジネスパートナーのデータが影響を受けたサーバーに保存されていたことや、他のソニーのシステムが影響を受けたという兆候はありません。そのためソニーの経営に悪影響は出ていません」と述べました。