ソニー・プレイステーション・ネットワークのユーザーから、ドイツでの航空券予約から日本の食料品店での購入まで、クレジットカードの不正使用が報告されている。
木曜日、セキュリティ企業は、ハッカーが盗んだPSNのクレジットカード情報だと主張する情報を販売していると報告した。ソニーは、データは暗号化されており、使用できないと断言している。また、ソニーは「クレジットカード情報が盗まれたという証拠はない」と述べている。
一方、議会も関与を始めており、下院エネルギー・商業委員会はソニーの平井一夫会長に質問リスト(書簡へのPDFリンク)を送り、5月6日までに回答を求めている。さらに、NextGovのウェブサイトでは、国土安全保障省がソニーの調査を支援していると主張している。
クレジットカード詐欺が偶然の産物であると主張するのは難しい。PSNは世界中に7,700万人のユーザーを擁しており、その全員が無料サービスにカード情報を登録しているわけではないだろう。しかし、その規模の大きさを例に挙げると、7,700万人はフランスとベルギーの人口を合わせたよりも多く、アメリカの人口の4分の1に相当します。
言い換えれば、PSN ユーザーのかなりの割合が、無関係な原因で毎日詐欺の被害に遭う可能性があり、その責任をソニーに押し付けるのは簡単です。
販売されているカード情報はわずか220万件と言われているものの、7700万人のユーザーのうち誰が影響を受けるのかは不明です。そのため、クレジットカード情報を渡したPSNユーザーは、おそらく少し不安を感じているでしょう。
PSNの取引にのみ使用したクレジットカードを持つユーザーであれば、より確固たる証拠を提供できる可能性があり、Ars Technicaはそのような人物を発見したと主張している。読者の一人は「緊急時用に自宅の引き出しにしまってある」アメリカン・エキスプレスのカードを所有しているが、彼はそれを使ってPSNに登録していた。その読者によると、カードは先週末に不正使用されたという。ただし、今回のケースではアメリカン・エキスプレスが不正取引に気付いたという。
大きな疑問は、ハッカーがクレジットカード情報を解読できなかったかどうかです。もしPSNを実行するソフトウェアに完全にアクセスできたとしたら、カード情報を解読するのに通常使用されるのと同じメカニズムを使えた可能性があります。あるいは、暗号化が弱く、簡単に解読されてしまう可能性もあるでしょう。
2つ目の大きな問題は、ハッカーがインターネット取引に必須の極めて重要なCVVコードを持っているかどうかです。ソニーは当初、FAQでこのコードを要求することはないと主張していましたが、その後、コードの提示は求めているものの、データベースには保存していないと回答を修正しました。
しかし、ハッカーがネットワークをどれくらいの期間制御していたかはまだ分かっていません。ネットワークが稼働している間に取引を盗聴し、CVSコードやクレジットカード情報までも収集していた可能性はあります。そのため、販売されているクレジットカード情報がごくわずかである理由も説明できるかもしれません。
いずれにせよ、すべての PSN ユーザーはクレジットカード会社に連絡してどうすればよいか問い合わせるべきであり、最善の策は新しいカードを要求することです。
障害に関する詳細は、PC WorldのPlayStation Networkハッキングタイムラインをご覧ください。また、「PlayStation Networkセキュリティ侵害:サバイバルガイド」もご覧ください。
