攻撃の詳細

同社のシステムでは、インターネット経由でのアクセスに対してWebサーバー、アプリケーションサーバー、データベースサーバーの3種類のサーバーを設置しており、それぞれファイアウォールを導入して「必要最小限の通信」(長谷島CIO)のみを許可していた。しかし、アプリケーションサーバーに存在していた既知の脆弱性を突かれ、外部からの通信が可能なようにツールが導入されてしまい、そこからデータベースへ侵入されたという。

同社のシステム構成

アプリケーションサーバーの脆弱性を突いて不正な攻撃ツールが導入され、データベースにアクセスされた

データベースサーバーには、各個人情報が格納されており、そのうちパスワードはハッシュ化されて保管。クレジットカード情報などの情報は暗号化され、別の領域に格納されていたという。長谷島氏は、各個人情報へのアクセスは確認できたが、クレジットカード情報などは、暗号化されており、アクセスをした形跡がないことから、「(漏えいの)可能性は低い」(同)とみている。

長谷島氏は、「かなり巧妙な、高度な技術を持った侵入」だったと話すが、既知の脆弱性を狙われており、その脆弱性の情報を「マネジメント側は認識していなかった」(同)と、対策の不備を示唆しており、今後CSIOの新設することで、情報収集を強化する考えだ。

また、情報提供が遅れたのではないかという質問に対し平井氏は、不正アクセスに関する情報の分析、ログの解析の作業などをしており、膨大な情報の解析に時間が掛かり、「なるべく確度の高い情報を提供したいと考えた」としており、できるだけ早急な情報提供を行ったとの認識を示している。

現時点では流出した可能性のある情報を悪用した形跡は確認されていないというものの、攻撃の目的に関しては「どういう目的で侵入して、どういう不正行為を働いたか、現時点で話す段階にない」(平井氏)としている。

今回の会見では、狙われた脆弱性、侵入に使われたツール、クレジットカード情報などに使われている暗号、パスワードのハッシュ化に使われた方式、4月18日からの攻撃に対して20日になって判明した理由などの疑問は、現時点では明らかにされておらず、今後のさらなる情報公開が望まれる。

平井氏は、今回の問題に関して謝罪の言葉を繰り返すとともに、「一連のサイバー攻撃は、ソニー1社に対するものだけではないかもしれない。個人情報の保護や安心・安定したネットワークの保護のためにも、捜査当局や関係機関とも協力し、ネットワークへの犯罪行為には毅然とした対応をする」と強調している。