久々に大規模な個人的情報誌漏えいが発生した。

誰が、なぜ？　史上最悪規模・ソニー個人情報流出事件を時系列順に整理
http://www.itmedia.co.jp/news/articles/1105/06/news052.html

---

• 4月16〜17日
  「EverQuest」などPC向けオンラインゲームを運営する米Sony Online Entertainment（SOE）のシステムにハッカーが侵入、約2460万アカウント分の個人情報などを盗んだ可能性がある。

• 4月17〜19日
  PSNシステムにハッカーが侵入。約7700万アカウント全員分の個人情報が盗まれたことが後に確認された。

• 4月21日
  日本時間午後1時ごろからPSNにサインインできない障害が発生、サービスは停止状態に。

• 4月22日
  PSNの障害復旧には「一両日中かかる可能性」とSCEが告知。

• 4月23日
  「外部要因とみられる影響により」PSNに障害が発生しているとSCEが告知。

• 4月24日
  「ネットワークインフラを強化するためにシステムの再構築を行っており」復旧に時間がかかっているとSCEが告知。一方、Anonymousは「われわれはやっていない。ソニーは無能」と声明。

• 4月27日
  （米国時間26日）PSNから約7700万人分の個人情報とクレジットカード番号が流出2 件した可能性をソニーとSCEが公表。

• 5月1日
  SCE社長を兼任するソニーの平井一夫副社長が都内のソニー本社で会見して謝罪。脆弱性を突かれたのが原因だと明らかにし、ハッカーが正常な動作として侵入したので検知できなかったと説明。情報開示が遅れたのは「膨大なデータの解析に時間がかかってしまった。なるべく確度の高い情報を届けたかった」と説明したが、批判される。

• 5月2日
  （米国時間1日）SOEシステムへのハッカーの侵入と最大2460万アカウントの個人情報流出の可能性が判明。

• 5月3日
  SOEからの個人情報流出の可能性をソニーが公表。

• 5月4日
  米下院小委員会の公聴会で、SCEAが平井副社長名の回答書を提出。Anonymousの関与をほのめかすファイルがシステム内に見つかったと回答した。公聴会を指揮するメアリー・ボノ・マック小委員長（共和党）はSCEによる開示の遅れを強く批判。また上院司法委員会の公聴会で、ホルダー米司法長官はFBIが捜査中であることを認めた。

• 5月5日
  ソニーのハワード・ストリンガーCEOが、事件後初めてのコメントを英文で発表し、謝罪した。一方、Anonymousは個人情報流出事件について関与を否定した。

流出した情報は氏名や住所、年齢などを含むとてもセンシティブなもので、SONYが被った社会的ダメージは計り知れない。人数が人数なので一人当たりいくらの賠償金で収めるというわけにもいかいかず、さっそく集団訴訟の声が上がるなど見通しはとても厳しい。万一クレジットカードの情報まで漏れてしまっているならば、Sony経営陣を直撃するほどのインパクトを産むだろう。

今回、SONYは明確にクラッキングの被害に遭った様に思われる。侵入されたサーバー上にはクラッカーからのメッセージと思われるファイルも見つかっており（本当にAnonymousかどうかはともかく）、悪質なサイバーテロの哀れな犠牲者というわけだ。

が、SONYが被害者だからといって、開き直るのはスジが違う。こんな情報より遥かにセンシティブな情報を、はるかに大量に扱うシステムなど、世界中にいくらでも存在する。僕らがいつもお世話になってるコンビニATMなんて、たった四ケタの暗証番号でお金がおろせてしまう。しかし、銀行の暗証番号が流出しました、クラッキングされて丸々盗まれました、なんて話はきいたことがないし、相当大規模な集団で、数年単位で時間をかけて綿密に計画、実行されない限り、これからも起こり得ない。

SONYと銀行のシステムにどんな違いがあるかといえば、どれだけ金をかけて厳重に管理しているか、という点に尽きる。個人情報を扱う様なシステムは、破られた時のリスクと収益性のバランスを考えて設計されるが、PSNの場合はおもちゃ同士の通信手段にすぎないので、扱う情報の重要性に比べ、システム設計にそもそも油断があったんじゃないかなと推測させられる。

この事件を受け、慌てて自社のシステムに見直しをかける企業は多くあるだろう。
企業は個人情報漏洩で簡単に吹っ飛ぶというのは頭では理解していても、なかなか対応に手を回せない経営者はとても多い。もっともっと、システムの安全性の追求が必要だ。

もはや一般人は絶対安全なシステムなどないということを知りながら、利便性の為にやむを得ず得体のしれない企業・組織に個人情報を預けるしか無いのが現状…とはいえ、世界中にCodeが公開されているサーバーで重要情報を管理する愚に社会が気が付くには、今回のSONYの事件なんかでは全然足りないんだろうなー。

個人でできる防御策

上述の通り、安全神話が簡単にくつがえった原子力発電と同じく、どんな強固なシステムも情報漏洩というリスクを孕んでる。一般的に存在すら知られておらず、とても高価で、Closedなシステムによって運用されているサーバーならともかく、UNIXやLinuxなどの誰でも触れるOpenなプラットフォームによって構築されたサーバーでは、そのリスクはとても大きい。なので、Webに情報を預ける時には、個人でできる防御策が必須だ。

1. （可能ならば）偽名を使う
2. サイト毎に住所など個人情報の細かい部分を変更する（番地の末尾に、サイトごとに異なる無意味なアルファベット文字をつけるなど）
3. 電話番号も存在しないものに偽る
4. 生年月日を偽る

上記の対応はいずれもサイトの約款にそぐわないおそれがある手法だが、しかしあなたの個人情報を守るという意味ではとても有効な手段といえる。事実、性別を偽ってサイトに情報登録している女性は結構いるんではなかろうか。
もちろん何も登録しない、ネットで買い物しないとうのは一番なのだが、この時代にそれはあまりにも不自由で息苦しい。なにより、楽しくない。なので、たとえ情報漏洩があったとしても「え？あのサイトの情報漏れたの？ふーん」で済ませられるユーザーが、最もインターネット上でのリテラシーが高いユーザーと言えるのではなかろうか。

最もやっては行けないことは、重要なWebメールのアカウントやお買い物サイトの間で、IDとパスワードを共有しない事だ。
もし一つのID、パスワードが漏れてしまえば、そこから芋づる式に情報が漏洩してしまう。また、漏洩した情報に触れて不正ログインなど行った人がいようものなら、例え好奇心によるものでもばっちり不正アクセス禁止法に抵触する行為になり、逮捕されるおそれがある。例えばGmailとAmazonを同じパスワードで管理しているなど論外だし、HotmailとSkypeを同じパスワードで使っているというのもありえないレベルのリテラシー欠如。
今回の流出事件でも、SONYは他のサイトで同様のパスワードを使用している人はすぐに変えるよう呼びかけてはいるが、それだけ意識せずパスワードを共有して使っている人が多いという事だ。

個人にできることは情報の管理と防御、企業にできる事はセキュアなシステムの構築、国や政府にできる事は規制のコントロールとサイバーテロリストの逮捕と厳罰化。

この情報漏洩により、不幸になった人がいないよう、心から祈る・・・。