ソニーはクレジットカードデータベースは暗号化されていると保証しているにもかかわらず、ハッカーはソニー・プレイステーション・ネットワークのユーザーから220万件ものクレジットカード番号を盗んだ可能性がある。
トレンドマイクロのシニア脅威研究者、ケビン・スティーブンス氏は最近、Twitterで、クレジットカード番号を盗んだと主張するハッカーたちが、オンラインの闇市場フォーラムを通じてデータベースを売却しようとしていると述べました。ハッカーたちはまた、盗んだクレジットカードのセキュリティコード(CVV)も盗んだと主張しています。CVVは通常、ほとんどのクレジットカードの裏面に記載されている3桁の番号です。スティーブンス氏はデータベースを閲覧できず、ハッカーたちの主張を検証できませんでした。
ソニーは最近、同社のサーバーへの最近の侵入事件でPSNユーザーのクレジットカード番号が盗まれたという証拠はないと発表した。また、データは暗号化されているため、たとえ盗まれたとしても、クレジットカード情報を利用可能な情報に変換することは非常に困難だとしている。
身代金のためのデータですか?
しかし、ハッカーの主張が真実であれば、そうではないかもしれない。スティーブンス氏は最近ニューヨーク・タイムズ紙に対し、ハッカーたちがリストを10万ドル以上で売却しようとしていると語った。ハッカーたちは情報をソニーに売り戻そうとしたとも主張しているが、今のところソニーはこれを認めていない。
iSEC Partnersのセキュリティコンサルタント、マシュー・ソルニック氏もニューヨーク・タイムズ紙に対し、ハッカーが同社のメインデータベースに侵入した可能性があると語った。ソルニック氏によると、そこから暗号化されていないクレジットカード情報にアクセスできた可能性があるという。しかし、ソニーはデータベースの暗号化の仕組みを詳細に公表していないため、それが可能だったかどうかは不明だ。
現時点ではハッカーの主張は検証されていないため、どう解釈すべきかは不明です。一部のPSNユーザーは、カードに不正な請求が行われていると主張しています。しかし、PSNへの侵入がより多くのユーザーに影響を与えることを考えると、
7000万人以上のユーザーが利用しているため、不正な請求がPSN侵入と直接関係しているかどうかは不明だ。
それでも、PSN ユーザーはクレジットカード アカウントを注意深く監視することをお勧めします。また、PSN サービスに使用しているカードをキャンセルすることを検討することもできます。クレジットカード会社は、状況に応じて交換カードを発行するはずです。
[セキュリティに関するさらなるヒントについては、PSN 侵害を生き延びるための PCWorld のガイドをご覧ください。]
ソニーのPSNとQriocity音楽サービスは、侵入後10日間近くダウンしており、同社は最近、サービス中断に対するユーザーへの補償を検討していると発表した。
同社は4月20日に両サービスをオフラインにし、PSNとQriocityをユーザーに再開する前に、セキュリティ対策を強化してネットワークを再構築する作業を進めている。
もう一つの「ゲーム」が破られる
オンラインセキュリティ対策の見直しが必要なのはソニーだけではない。月曜日、ニューヨーク・ヤンキースのカスタマーサービス担当者が、シーズンチケット保有者約1万8000人の個人情報を誤ってニュースレターのメーリングリストに送信してしまった。
最新のテクノロジー ニュースと分析については、Twitter で Ian Paul (@ianpaul) および Today@PCWorld をフォローしてください。
