at posts/single.html

ソニー PSN の個人情報漏洩と、自衛としての1Passwordの導入

ソニーの PSN (PlayStation Network) で個人情報が漏洩する事件が発生した。 僕もPSNに登録していたので、ソニーからお知らせのメールが届いた。

PlayStation®Network/Qriocity™をご利用の皆様へのお詫びとお願い

残念ながら、メールからはあまりいい印象は受けなかった。 まず件名が曖昧で、重要度を認識できないことが問題。 最初は障害が長引いていることのお詫びかと思って、僕もメールを読み飛ばしていた。 ちゃんと件名に「お客様情報の漏洩」という言葉を入れるべきだろう。

漏洩した(不正アクセス者が入手した)とみられるアカウント情報:  

  • お客様がPlayStation®Network/Qriocity™に登録した、氏名、住所、Eメールアドレス、生年月日、PlayStation®Network/Qriocity™パスワード、PlayStation®NetworkオンラインID

なお、お客様がPlayStation®NetworkまたはQriocity™にクレジットカード情報を登録されている場合、登録されているクレジットカード番号(セキュリティコードを除く)および有効期限に関する情報が不正アクセス者に入手された可能性を完全に否定することはできませんが、現時点ではそのことを示す形跡は見つかっておりません。

いわゆる個人情報だけでなく、メアドやID/パスワードまで漏洩している模様。 カード情報については言い回しが婉曲だけど、現時点では流出したとみなすほうがよさそう。

対処としては、PSNおよび他サービスのパスワード変更と、クレジットカードの履歴確認が書かれている。

PlayStation®NetworkおよびQriocity™のサービスが復旧した際は、お客様がご利用のパスワードを変更されることを強く推奨いたします。併せて、お客様がインターネット上でご利用の他のサービス等で、PlayStation®Network/Qriocity™と同じユーザーIDやパスワードを使用されている場合は、それらの変更を強くお奨めいたします。

さらに、お客様に成りすました不正ログインや不正利用を防ぐために、アカウントに登録されている情報の詳細やクレジットカードの引き落とし履歴等を定期的に確認されることを推奨いたします。(クレジットカードに関連する情報についてご不明な点等につきましては、ご利用のクレジットカード会社にお問い合わせください)

カード情報は正直、どこまでやればいいのか分からない。 住所・氏名・生年月日が漏洩していることから、カード不正利用のリスクは高そう。 不正利用の場合はカード会社が保障してくれるだろうけど、不正利用と証明できなかった場合が心配。 産経のニュース記事では、自衛手段としてカード番号の変更を勧めているので、カード会社に相談してみるかな。

被害を受けた場合、どうすればいいのか。国内大手カード会社では「身に覚えのない買い物が発覚したらすぐにカード会社に連絡することが大切。不正取引だと判明すれば支払いの必要はない」と説明。さらに「カードを更新し番号を変更することが最も効果的な自衛手段」とアドバイスする。更新のための費用をソニーに請求することもできるという。

ニュースではカード情報に注目が集まっているけど、僕が気になっているのは漏洩した情報に「パスワード」が含まれていること。 翌日にはJPCERTからも情報流出に伴う ID とパスワードの不正使用に関する注意喚起が出ている。

同サービスに登録しているアカウント情報 (ID/Password) を他のサービスでも使用していた場合、攻撃者は不正に入手したアカウント情報を使用して、PlayStation Network および Qriocity 以外の他のサービスにログインし、サービスを不正に使用したり、そのサービスに登録されている個人情報やクレジットカード情報を窃取したりする可能性があります。

パスワードが平文で保存されていたのか、それともハッシュ化されているのかは明記されていない。 でも、明記していないことと、他サイトのパスワード変更まで勧めていることから、僕は平文で保存していたと考えている。 だとしたら、ずさんな作りだよなぁ。ソニーですらそうなら、他のWebサイトもどうなっているか分からないね。

Webサイトでのパスワードの保存方法は、以前の日記「パスワードの保存に SMD5 (Salted MD5) や SSHA1を使う (MD5 への辞書攻撃とか)」に書いたのでここでは繰り返さない。

これまでにもパスワードは使い分けてきたけど、PSNで使ってたパスワードが何かは思い出せない(次回以降は入力しないので)。 そこで、自衛のためにもこれを機会に 1Password というソフトを導入して、完全にWebサイトごとに異なるパスワードを設定・管理するようにした。

1Password とは一言でいれば、「Webブラウザのパスワード記憶機能の高度版」。 仕組みは Mac のキーチェーンに近いみたい。

Webブラウザでも一度入力したパスワードを記憶してくれる機能がある。 でも、一部のWebブラウザはパスワードを平文保存していることや、端末やWebブラウザが変わるとパスワードを覚え直しという問題がある。

1Passwordはこれらの欠点を解消している。

  • 覚えたパスワードは複数のWebブラウザで使用できる
  • DropBoxと連携することで、複数の端末で設定を共用できる
  • iPhoneやAndroidにも対応

1PasswordはAgile Web SolutionsのWebサイトから購入できる。 僕は「Mac + Windows Bundle」を選んだ。 価格は $59.99 だけど、こういうソフトウェアは有償の方が安心できる。

1Passwordを入れた後は、影響度の高いサービスから順番にパスワードを変更していった。 とりいそぎ、 Google, Amazon, iTunes, DropBox のパスワードを変えている。 変更後のパスワードは、サイトごとにランダムに生成したものを使うようにした。

個人情報の漏洩は痛かったけど、パスワード管理を見直すキッカケにしよう。

関連する日記