ソニーグループが展開しているゲームなどのインターネットサービスにハッカーが不正侵入し、世界各地で延べ1億件を超す個人情報が流出した可能性が高まっている。ソニーは「既知の脆弱性」を突かれたと明かすが、それは具体的に何を意味するのか。また、一部メンバーの攻撃の痕跡が発見された国際ハッカー集団「アノニマス」は、本当にこの事件の黒幕なのか。ハッカー、ギャング、国家まで巻き込んだサイバー犯罪の恐ろしさを描き、欧米で話題を呼んだノンフィクション「Fatal System Error」の著者で、現在英フィナンシャルタイムズのセキュリティ専門記者としてこの事件の取材にあたっているジョセフ・メン氏に話を聞いた。(聞き手/ジャーナリスト、瀧口範子)

――今回の事件をどう見ているか。


ジョセフ・メン(Joseph Menn)
現在ファイナンシャルタイムズの記者で、シリコンバレーを拠点に、1999年からサイバーセキュリティを追っている。以前は、ロサンゼルスタイムズに在籍。著書に『All The Rave』(邦題「ナップスター狂想曲」)、『Fatal System Error』などがある。特に後者は、関係者の取材を元にサイバー犯罪組織の内実に迫ったノンフィクション作品であり、欧米で大きな話題を呼んだ。ハーバード・カッレジ卒業。ピュリッツァー賞候補にのぼった他、さまざまなジャーナリズム関連の賞を受けている。

 クレジットカードやデビットカード情報がシステムから直接盗まれた被害例では、過去に1000万件レベルのものもある(一方、ソニーの今回のケースでのカード情報自体の流出は現時点で数万件程度と見られている)。その意味では、まだ史上最悪の流出事件にはなっていない。ただし、メールアドレスやパスワード情報を基点としてさらに被害が広まる可能性はある。この点は軽視できない。

 すぐに連想するのはスパムだろうが、統計によれば、同じパスワードを複数のサービスに利用しているオンラインユーザーは73%にも上る。したがって、たとえば、私があなたのGメールアドレスとパスワードを組み合わせてメール履歴のアクセスに成功し、メールの内容をつぶさに調べれば、銀行口座や他のショッピングサイトなどのアクセス情報を突き止めることもできるだろう。

 あるいは、そこから友達のメールアドレスを多数入手し、あなたになりすましてメールを送り、「キーロガー」(キーボードの入力信号をモニターするソフトウェア)のようなソフトを相手のコンピュータに埋め込めば、そこからも何らかの金銭関連のアクセス情報を盗み出すことも可能だ。いろいろな被害が派生する可能性が考えられる。

――今回ソニーは「既知の脆弱性」を突かれたと発表している。これは何を意味するのか。

 ソフトウェアの脆弱性が分かっていれば、普通はすぐにパッチ(セキュリティホールが発覚したときに配布される修正プログラム)をあてる。パッチで修復できない脆弱性は非常にまれで、これがあれば被害が出ることはなかっただろう。「既知」であるのに被害が出たということは、パッチをあてるのが遅れたか、あるいはパッチのテストが十分でなかったかのいずれかだ。パッチが遅れたのは、担当者が何か他のことで忙しかったからかもしれない。テストが不十分な場合は、他のシステムにも穴のあることが分からずじまいだったということになる。いずれにしても、ソニーの責任は大きい。

続きはこちら(ダイヤモンドオンラインへの会員登録が必要な場合があります)


■関連記事
・ソニーが個人情報大量流出事件で抱え込んだ ビジネスリスクの正体と信頼回復までの長い道のり
・ソニーに何が起きたのか――ハッカーとの暗闘の末に史上最大規模の個人情報流出
・フェイスブックやツイッターだけじゃない!中東・北アフリカ騒乱で体制側を追い込んだ 覆面ハッカー集団「アノニマス」の正体
・絶対消去できない情報がWinnyでネットに流出 個人情報や機密情報が一瞬にして丸裸に!この難局をどう乗り切るか?
・ゲーム業界に広がるデフレの猛威 任天堂、ソニーは“攻略”できるか