PlayStation Network の障害が4週目に突入し、サービスがいつ回復するかという明確な答えが出ていない中、セキュリティ専門家は PCWorld に対し、ソニーは PSN へのハッカーの侵入を防ぐためにもっと対策を講じることができたはずだと語った。
彼らの発言は、パデュー大学のコンピュータセキュリティ教授であるジーン・スタッフォード氏の議会証言を受けてのものだ。スタッフォード氏は、ソニーがApacheウェブサーバーソフトウェアの古いバージョンを使用しており、ファイアウォールも導入していなかったと議員らに証言した。ハッカーは4月19日にPlayStation Networkに侵入し、個人データを盗み出し、ソニーにネットワークの再構築を迫った。この作業は現在も続いている。
ソニーはスタッフォード氏の主張を否定しているが、PCWorldに話を聞いた他の専門家はソニーがあらゆる予防措置を講じていたかどうか疑問視している。
「私が目にしたあらゆることから、これはかなり多くのことが防げたはずだと分かります」と、セキュリティー専門家向けの会議を主催する情報システムセキュリティー協会ロサンゼルス支部のスタン・スタール会長は語った。
スタール氏は今回の攻撃について直接の知識はないが、経験上、ソニーのセキュリティ対策は時代遅れだったと示唆している。彼は、ソニーがPSNのハッキングを、以前のサービス拒否攻撃が原因の一つだと説明していたと指摘した。この攻撃によって、大規模な侵入に対するネットワーク防御が意図せず、あるいは意図的に弱体化していたのだ。スタール氏はこの手法を熟知しており、約8年前、コンサルティング業務の一環として、水道会社のウェブサイトをクラックする際にも同様の手法を用いたことがある。
「7、8年前の攻撃を使って小さな水道局にこんなことをできるのに、ソニーがその攻撃を受けたとしたら…ソニーの誰かが店を監視していなかったと言わざるを得ない」とスタール氏は語った。
Akamaiのゲーム戦略責任者であるクリス・アレクサンダー氏は、ソニーへの攻撃のように、複数の波状攻撃が多発するのはよくあることだと述べた。アレクサンダー氏は、ゲーム業界の企業についてコメントしないというAkamaiの方針から、ソニーについて具体的には言及しなかったが、企業が複数の方面からの攻撃に備えることが重要だと述べた。「多くの場合、特に悪意のある攻撃者は、自衛のためにあなたと同じくらい綿密に計画を立てています」と彼は述べた。
攻撃後
ITコンサルティング会社ホークソーン・グループのCEO、マイク・メイクル氏もソニーを批判し、同社のセキュリティ侵害への対応の仕方に欠陥があったと述べた。同社は、ユーザーの名前、メールアドレス、パスワード、実住所、生年月日が漏洩したことをユーザーに通知するのに5日もかかった。さらに、攻撃発生後にようやく、ネットワークを監督する最高情報セキュリティ責任者(CIO)を任命すると発表した。
「データ漏洩に対処するための明確なプロセスが全くありませんでした」とメイクル氏は述べた。多くの企業は、追加費用がかかる上に、データセキュリティがごく最近まで重要な問題ではなかったため、そのようなプロセスを設けていないとメイクル氏は指摘した。それでも、メイクル氏はソニーの対応に失望した。
「ソニーはソニーだからちゃんとやってくれると誰もが思っていた」と彼は言った。「それが何よりも人々を苛立たせていると思う」
PSN の侵害は避けられなかったのか?
ソニーのセキュリティ対策は批判を浴びているものの、一部の専門家、そして熱狂的なソニーファンは、今回のセキュリティ侵害は避けられないものだと指摘している。先週、著名なセキュリティ専門家ブルース・シュナイアー氏はKotakuに対し、真に安全なネットワークなど存在しないと述べ、PSNがハッキングされたという事実はセキュリティレベルとはほとんど関係がないと主張した。「おそらく誰もが同じようにセキュリティに問題があるのでしょう」と彼は述べた。
KRAAセキュリティのゲイリー・バハドゥール氏は、ハッキングは避けられないという考えを否定しています。「すべての資産を特定し、脆弱性がないか毎日テストするための迅速な対応プロセスを確立し、熱心に取り組んでいれば、非常に優れたセキュリティ体制を維持できます」と、彼は電子メールで述べています。
問題は、ソニーのような大規模な標的は、攻撃を阻止するために相当なリソースを投入する必要があることだと、シカゴの非営利セキュリティ調査会社Team Cymruのアウトリーチ担当ディレクター、スティーブ・サントレッリ氏は指摘する。「大規模な標的であれば、多くの優秀な人材が、膨大なリソースと時間をかけてシステムを徹底的に攻撃することになるだろう」と彼は言う。
ネットワークセキュリティ企業nCircleの最高技術責任者、ティム・キアニーニ氏によると、ビデオゲームネットワークは、サブスクリプションやダウンロードコンテンツの利用にあたり、関連するクレジットカードを常に有効にしておく必要があるため、ハッカーにとって魅力的な標的であり続けるだろうという。「他のサイバー犯罪者も今回の侵害に注目し、他のゲームサイトを潜在的な標的として検討している可能性が高い。なぜなら、ゲームサイトも同様に『豊富』な個人情報を保有しており、それらはすぐに現金化できるからだ」とキアニーニ氏は電子メールで述べている。
サントレッリ氏は、現職に就く前はマイクロソフトに勤務し、スコットランドヤードのコンピュータ犯罪課で刑事巡査部長を務めていたが、ネットワーク侵入を阻止する万能薬は存在しないと警告した。消費者が自らのデータを取り扱う方法に抜本的な変化が必要だと主張した。
「ソニーの件後に残された一つのメッセージは、これが今日の現実であり、自分自身、自分のネットワーク、自分の家族、そして自分の情報を守る責任は自分にあるということだ。なぜなら、他の誰もあなたに代わってそれをやってくれるわけではないからだ」とサントレッリ氏は語った。
彼は、「パスワードをきちんと管理する」(具体的には、すべてのウェブサイトやサービスで同じパスワードを使い回さないこと)、銀行の取引明細書を注意深く確認すること、オンラインショッピング用のクレジットカードを別に用意することを推奨しました。PlayStation Networkのデータ盗難への対処法について詳しくは、当社のサバイバルガイドをご覧ください。
さらに多くのテクノロジーニュースや解説をご覧になるには、 FacebookやTwitterで Jared をフォローしてください。
