プレイステーション・ネットワークからの個人情報流出について
G Dataは、セキュリティベンダーとして、今回の膨大な数の個人情報の漏洩に対して、裏市場における販売価格の実態をお知らせするとともに、今後の対策についてまとめました。
G Data Software株式会社(本社:東京都千代田区、日本支社長:Jag 山本)は、ソニーのプレイステーション・ネットワークからの個人情報流出について、セキュリティベンダーの立場から、コメントを発表します。
ソニーが運営するプレイステーションネットワーク(以下、PSN)とキュリオシティは、2011年4月20日に、外部からの不正侵入が発見されたことを理由に、オンラインでのサービスを停止しました。そして4月27日に約7,700万の個人情報が流出したおそれがあることを公にしました。
日本語 → http://cdn.jp.playstation.com/msg/sp_20110427_psn.html
英語 → http://us.playstation.com/support/answer/index.htm?a_id=2356
詳細は、まだ調査中とされていますが、SNSもしくはキュリオシティのアカウント取得者の個人情報で、流出のおそれのあるデータは、以下のものです。
・氏名
・住所
・国籍
・メールアドレス
・生年月日
・パスワード(PSN/キュリオシティ)
・オンラインID(PSN)
また、下記のようなプロファイルデータも、含まれている可能性があります。
・購入履歴
・請求先住所
・パスワード再設定用の質問への回答
アカウント取得者がサブアカウントを作成している場合、同様にサブアカウントの個人情報も流出している可能性があります。
さらに、アカウント取得者がPSN/キュリオシティにおいてクレジットカードを使用していた場合、次のものも流出しているかもしれません。
・クレジットカード番号(セキュリティコードを除く)
・有効期限
現在ネット上で行われる攻撃には、大別すると、1)金銭目的(サイバー犯罪)、2)政治的行為(サイバースパイ、標的型攻撃=ターガタック)、に分けられます。
特徴は、1)金銭目的は、特定の人間のデータを必要としません。もちろん時内容のクオリティも重要ですが、量が多いことによって価値が高まります。それに対して2)政治的行為は、特定の組織や国家、設備などを狙うのが目的なので、数量は特に問わず、極端に言えば、ただ1つの情報さえあればよい、というものです。
G Dataが4月27日に発表した「ターガッタック」はこの2)政治行為、に相当しますが、今回の流出については、原因や動機がまだ明らかになっていないため、いずれの可能性も考えられます。
確かに、これまでのソニー側とハッカーとのトラブルの経緯をふまえると、2)の可能性も考えられますが、膨大な数の個人情報の流出を考えると、1)の可能性も十分にあり、さらに言えば、1)と2)の複合であるかもしれません。
裏市場における個人情報の価格について
あくまでも一つの可能性ですが、もし流出した個人情報が裏市場において取引された場合、どの程度の価格になるのでしょうか。
氏名やアカウント、有効期限、パスワードといったクレジットカードにかかわる個人情報が一式揃っている場合、これをネットの裏市場にあるフォーラムや掲示板で、高額で売ることができます。以下の一覧は、裏市場における販売価格の一覧です。
裏市場における販売価格一覧(2011年4月現在)
*日本円は、1ユーロ=120円、1ドル=80円で計算
PSNクレジット50ユーロ 10〜25ユーロ(1,200〜3,000円)
クレジットカード(セキュアコード更新可能) 50ユーロ(6,000円)
クレジットカード・ゴールド(セキュアコード更新可能) 70ユーロ(8,400円)
クレジットカード(Visaによる認証なし) 40ユーロ(4,800円)
クレジットカード・ゴールド(Visaによる認証なし) 50ユーロ(6,000円)
Visa / Master(米) 1.5〜2米ドル(120〜160円)
Visa / MasterCard(英) 5〜7米ドル(400〜560円)
Visa / Master(英)誕生日データ付 10米ドル(800円)
Visa / MasterCard(欧) 6〜15米ドル(480〜1,200円)
アメリカンエクスプレス(米) 3米ドル(240円)
アメリカンエクスプレス(英) 12米ドル(960円)
アメリカンエクスプレス(欧) 9米ドル(720円)
未記載のクレジットカード(エンボス加工なし) 25米ドル(2,000円)
未記載のクレジットカード(エンボス加工あり) 40米ドル(3,200円)
身分証明証(ルーマニア/モルドバ) 600〜1,000ユーロ(72,000〜120,000円)
運転免許証(ルーマニア/モルドバ) 600〜1,000ユーロ(72,000〜120,000円)
パスポート(イスラエル) 2,300ユーロ(276,000円)
パスポート(ルーマニア) 2,500ユーロ(300,000円)
たとえば、不特定多数にスパムメールを送りつけて個人情報を収集しようとしても、その中身の質がわからないため、「商品」としては、価値がそれほどあがりません。しかし本件のように、流出した個人情報の大半が、本物であり、かつ、有効である可能性がとても高い場合、当然のことながら、価格も上昇します。
PSNにかぎらず「良質」なアカウントを持っているユーザーは、自分の個人情報がこれからも狙われる可能性がある、ということを肝に銘じておくべきでしょう。
個人情報流出への対策
ユーザー自身が直接流出を防ぐ努力はできません。すべては、業者にゆだねられており、こういった攻撃への対策を強化することを要望するほか、ありません。信頼性の低いサイトやサービスに個人情報を登録しないのはもちろんですが、すでに使用している場合に、今後できうる対策は、以下のような事柄になるでしょう。
1)ネットワークが再びオンラインになったならば、ただちにパスワードを変更する。
2)メールやインターネット上でその他登録しているユーザー名にPSNと同じものを使用しているならば、パスワードを急いで変更する。
3)必須以外の情報は入力しない。
4)身に覚えのない出金がないかどうか、クレジットカード預金取引明細をチェックする。もし不審なデータがあればただちにカード会社に問い合わせる。もし不正な出金があったとしても、詐欺行為であることが判明したなら、カードの保障(保険)によって弁済される可能性は高い。
5)インターネット取引専用のクレジットカードを使用する。
4月29日からはじまるゴールデンウィークのあいだに、PSN以外のアカウントやパスワードについても、一度しっかりとチェックすることをお勧めします。
ジーデータソフトウェアとは
G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。
*本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。
【本リリースに関する問合せ先】
G Data Software株式会社
101-0042 東京都千代田区神田東松下町48 ヤマダビル6F
窓口: 瀧本往人
E-mail: gdata_japan_info@gdatasoftware.com
URL: http://www.gdata.co.jp/
ソニーが運営するプレイステーションネットワーク(以下、PSN)とキュリオシティは、2011年4月20日に、外部からの不正侵入が発見されたことを理由に、オンラインでのサービスを停止しました。そして4月27日に約7,700万の個人情報が流出したおそれがあることを公にしました。
日本語 → http://cdn.jp.playstation.com/msg/sp_20110427_psn.html
英語 → http://us.playstation.com/support/answer/index.htm?a_id=2356
詳細は、まだ調査中とされていますが、SNSもしくはキュリオシティのアカウント取得者の個人情報で、流出のおそれのあるデータは、以下のものです。
・氏名
・住所
・国籍
・メールアドレス
・生年月日
・パスワード(PSN/キュリオシティ)
・オンラインID(PSN)
また、下記のようなプロファイルデータも、含まれている可能性があります。
・購入履歴
・請求先住所
・パスワード再設定用の質問への回答
アカウント取得者がサブアカウントを作成している場合、同様にサブアカウントの個人情報も流出している可能性があります。
さらに、アカウント取得者がPSN/キュリオシティにおいてクレジットカードを使用していた場合、次のものも流出しているかもしれません。
・クレジットカード番号(セキュリティコードを除く)
・有効期限
現在ネット上で行われる攻撃には、大別すると、1)金銭目的(サイバー犯罪)、2)政治的行為(サイバースパイ、標的型攻撃=ターガタック)、に分けられます。
特徴は、1)金銭目的は、特定の人間のデータを必要としません。もちろん時内容のクオリティも重要ですが、量が多いことによって価値が高まります。それに対して2)政治的行為は、特定の組織や国家、設備などを狙うのが目的なので、数量は特に問わず、極端に言えば、ただ1つの情報さえあればよい、というものです。
G Dataが4月27日に発表した「ターガッタック」はこの2)政治行為、に相当しますが、今回の流出については、原因や動機がまだ明らかになっていないため、いずれの可能性も考えられます。
確かに、これまでのソニー側とハッカーとのトラブルの経緯をふまえると、2)の可能性も考えられますが、膨大な数の個人情報の流出を考えると、1)の可能性も十分にあり、さらに言えば、1)と2)の複合であるかもしれません。
裏市場における個人情報の価格について
あくまでも一つの可能性ですが、もし流出した個人情報が裏市場において取引された場合、どの程度の価格になるのでしょうか。
氏名やアカウント、有効期限、パスワードといったクレジットカードにかかわる個人情報が一式揃っている場合、これをネットの裏市場にあるフォーラムや掲示板で、高額で売ることができます。以下の一覧は、裏市場における販売価格の一覧です。
裏市場における販売価格一覧(2011年4月現在)
*日本円は、1ユーロ=120円、1ドル=80円で計算
PSNクレジット50ユーロ 10〜25ユーロ(1,200〜3,000円)
クレジットカード(セキュアコード更新可能) 50ユーロ(6,000円)
クレジットカード・ゴールド(セキュアコード更新可能) 70ユーロ(8,400円)
クレジットカード(Visaによる認証なし) 40ユーロ(4,800円)
クレジットカード・ゴールド(Visaによる認証なし) 50ユーロ(6,000円)
Visa / Master(米) 1.5〜2米ドル(120〜160円)
Visa / MasterCard(英) 5〜7米ドル(400〜560円)
Visa / Master(英)誕生日データ付 10米ドル(800円)
Visa / MasterCard(欧) 6〜15米ドル(480〜1,200円)
アメリカンエクスプレス(米) 3米ドル(240円)
アメリカンエクスプレス(英) 12米ドル(960円)
アメリカンエクスプレス(欧) 9米ドル(720円)
未記載のクレジットカード(エンボス加工なし) 25米ドル(2,000円)
未記載のクレジットカード(エンボス加工あり) 40米ドル(3,200円)
身分証明証(ルーマニア/モルドバ) 600〜1,000ユーロ(72,000〜120,000円)
運転免許証(ルーマニア/モルドバ) 600〜1,000ユーロ(72,000〜120,000円)
パスポート(イスラエル) 2,300ユーロ(276,000円)
パスポート(ルーマニア) 2,500ユーロ(300,000円)
たとえば、不特定多数にスパムメールを送りつけて個人情報を収集しようとしても、その中身の質がわからないため、「商品」としては、価値がそれほどあがりません。しかし本件のように、流出した個人情報の大半が、本物であり、かつ、有効である可能性がとても高い場合、当然のことながら、価格も上昇します。
PSNにかぎらず「良質」なアカウントを持っているユーザーは、自分の個人情報がこれからも狙われる可能性がある、ということを肝に銘じておくべきでしょう。
個人情報流出への対策
ユーザー自身が直接流出を防ぐ努力はできません。すべては、業者にゆだねられており、こういった攻撃への対策を強化することを要望するほか、ありません。信頼性の低いサイトやサービスに個人情報を登録しないのはもちろんですが、すでに使用している場合に、今後できうる対策は、以下のような事柄になるでしょう。
1)ネットワークが再びオンラインになったならば、ただちにパスワードを変更する。
2)メールやインターネット上でその他登録しているユーザー名にPSNと同じものを使用しているならば、パスワードを急いで変更する。
3)必須以外の情報は入力しない。
4)身に覚えのない出金がないかどうか、クレジットカード預金取引明細をチェックする。もし不審なデータがあればただちにカード会社に問い合わせる。もし不正な出金があったとしても、詐欺行為であることが判明したなら、カードの保障(保険)によって弁済される可能性は高い。
5)インターネット取引専用のクレジットカードを使用する。
4月29日からはじまるゴールデンウィークのあいだに、PSN以外のアカウントやパスワードについても、一度しっかりとチェックすることをお勧めします。
ジーデータソフトウェアとは
G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。
*本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。
【本リリースに関する問合せ先】
G Data Software株式会社
101-0042 東京都千代田区神田東松下町48 ヤマダビル6F
窓口: 瀧本往人
E-mail: gdata_japan_info@gdatasoftware.com
URL: http://www.gdata.co.jp/