« QCon Tokyo 2011 #qcontokyo に参加した | トップページ | [読書]プログラマが知るべき97のこと その1 『19:誰にとっての「利便性」か』 »

2011/05/04

PlayStation Network 個人情報漏洩 #psnleaks について電話サポートで質問してみた

XBox Liveの件に続き、こちらでもトラップにかかってしまいましたのでサポートで質問してみました。あんまり大した情報は得られませんでしたが一応記載しておきます。ちなみに電話が担当者につながるまで待ち時間は無かったです(自動応答のお詫び朗読時間はちょっと鬱陶しかったですが)。

 

1.漏洩が発覚するより以前からクレジットカード認証に障害が発生していた利用者が多くいたようだが、今回の件との関連はあるのか

今回の事象との関連は確認できていない。なお、クレジットカードの利用が行えなくなる原因としては

  • 入力情報に誤りがある
  • 認証サービスに障害が発生した
  • 頻繁に情報を入力しなおすと認証にロックがかかる仕組みがあり、それが適用された(後述2ch.netスレ内にある、サポートで72時間待てと言われた、というのはこの件だと推測されます)

の3点が考えられ、これらのいずれかに該当していた可能性もある。

2ch.netのPlayStation Store不具合スレにあるように、遅くとも今年の頭以降、PSNでクレジットカード利用ができない人が複数人いました。

私は今年の3月末から利用し始めたのですが、初回購入は正しく認証できたものの、2回目以降情報を更新していないにもかかわらず認証ではじかれる、という事象が発生していたのでついでに聞いてみました。当時もサポートに連絡しようとしたのですが、震災の影響でメール/電話サポート共に止まっており、結局他のカード番号を入力して試してみる、という、今考えるとセキュリティ意識に欠ける行動をとってしまいました…

 

2.いつの時点の個人情報が漏えいしたのか

現時点の調査では、可能性が高いのはサービス停止時に登録していた個人情報、ということだそうです。

ただクラッキングを自動で検知してサービス停止していた、のような事実でもない限り上記の回答を鵜呑みにしても仕方が無いですね。調査が進むとこの点も明らかになってくるかもしれませんが、今の時点では入力したことのある全ての情報に対して、と考えておく方がより防御的でしょう。

前述の通り、私の場合は複数種のカード番号を入力したりしているので手続きが面倒なことになりそうです…

 

3.セキュリティコードの漏洩は無い、というのは確認が取れている事実なのか

回答としては、今のところ利用履歴などからセキュリティコードが漏洩した事実は確認されていない、とのことでした。

セキュリティコード入力について、最近PSNを利用していなかったので入力していないと思い込んでいる、という方も多そうなので補足をすると、それは思い違いです。公式サイトのQ&Aにも入力方法について記載があります

音元出版社のニュース記事『ソニー、PSN/Qriocity情報流出の新情報を公開 - カード情報は暗号化、個人情報は暗号化せず』という記事の中で

Q:クレジットカードのデータは盗まれたのか?
A:(中略)これはぜひ覚えて置いて欲しいが、CVCやCSCというセキュリティコードは、第三者に取得されていない。これは、我々がPSN/Qriocityについてこの情報を送信するよう顧客に要請したことがなく、システムにもともと情報が存在しないからだ。

というソニーのSony Computer Entertainment America(SCEA)社公式blog “PlayStation.Blog” のエントリQ&A #1 for PlayStation Network and Qriocity Services和訳が掲載されています。この記事の転載がweb上で出回っているのを何度か見かけましたが、この点についてSCEA社のエントリは既に更新されています。

Keep in mind, however that your credit card security code (sometimes called a CVC or CSC number) has not been obtained because we never requested it from anyone who has joined the PlayStation Network or Qriocity, and is therefore not stored anywhere in our system. UPDATE: While we do ask for CSC codes, we do not store them in our database.

この記述から推測するに、現時点でSCE社は

  • 漏洩した個人情報は多くともデータベースに保存されているものに限られる

という見通しを立てているように思われます。が、それが事実かどうかは今の段階の調査で断言してよいのだろうかとは思います。今の時点での回答はあんまり期待しない方が良さそうだ、というのが感触でした。

 

4.個人情報漏洩に対する被害が発生する前に、予防的にクレジットカード番号の変更を行った際の手数料をSCE社が補償するつもりはない、という認識は正しいか

対応については検討中のものあり、決定したものは公式サイトに掲載する、とのことでした。まあ「ありません」とか回答すると電話口でブチ切れられるだけでしょうし、あんまり期待しないで質問してみました。…というか、今FAQ見たら5月3日更新分に同じ内容のことが書かれていますね。確認漏れでした…

 

モバゲーなんかも個人情報の削除には対応してくれない、という話もあるそうですが、法律で規定されていないから削除しない、という運営方針で今後もコンセンサスが取れていると主張し続けられるのかは気になるところです。

 

サーバーとの通信を2重暗号化するなどの対策が急務:三輪信雄「ここが変だよみんなの対策」では

今回の攻撃方法がどのようなものであったかは分かりませんが、一つの可能性としてゲーム機の通信を解析することによって、サーバーの脆弱性を暴いて、それを悪用した可能性があります。
(中略)サーバーとの通信を密に行うようなケースでは、サーバーとの通信の2重の暗号化などの総合的な対策が必要とされます。

というようなことが書かれていますが、ゲーム機で実現しているオンライン対戦ではレイテンシ短縮も重要なので、暗号化/復号処理が複雑になるのは、それはそれで問題でしょうね。というか、本当に記載している内容が仮に事実だったとすると、そんなことをするよりクレジットカード等の情報が必要なAPサーバだかDBサーバだかとそれ以外に使用するものを分ける方が優先順位は高いと思いますが…

« QCon Tokyo 2011 #qcontokyo に参加した | トップページ | [読書]プログラマが知るべき97のこと その1 『19:誰にとっての「利便性」か』 »

コメント

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/18902/51577324

この記事へのトラックバック一覧です: PlayStation Network 個人情報漏洩 #psnleaks について電話サポートで質問してみた:

« QCon Tokyo 2011 #qcontokyo に参加した | トップページ | [読書]プログラマが知るべき97のこと その1 『19:誰にとっての「利便性」か』 »

other sites

  • follow us in feedly
  • github
  • stackoverflow

ソフトウェアエンジニアとして影響を受けた書籍

  • Christain Bauer: HIBERNATE イン アクション

    Christain Bauer: HIBERNATE イン アクション
    理論と実践が双方とも素晴らしい製品であるHibernate。本書はそのプロダクトを書名に冠していますが、Hibernateを使うつもりがなく、ORマッピングの解説書として読むにしても十分な良書です。Second EditionとしてJava Persistence With Hibernateという書籍も出版されていますが、残念ながら現在のところ 和訳はされていません。-インアクションは2.xの、Java Persistence-は3.1の頃のものなので、最新版とはちょっと違うところもあることに注意。 (★★★★★)

  • アンドリュー・S・タネンバウム: 分散システム 原理とパラダイム 第2版

    アンドリュー・S・タネンバウム: 分散システム 原理とパラダイム 第2版
    クライアント/サーバシステムを構築する上で必要となる知識が総論されてます。Web技術者も、フレームワーク部分を開発するのであれば必読。 (★★★★★)

  • Joel Spolsky∥著: ジョエル・オン・ソフトウェア

    Joel Spolsky∥著: ジョエル・オン・ソフトウェア
    前述の書籍「ソフトウエア開発プロフェッショナル」をより砕いたもの、という感じでしょうか。 前書きではプログラマでなくSE向けの本のように書かれているが、プログラマが読んでも面白い本であると思われます。 SEになった新人(あるいはそういう会社に入る/入りたての人)にとっては、これからどういったことが仕事を遂行していく上で起こりえるのか、どのように考えて行なっていけばいいのか決定する助けになると思います。 元は″Joel on Software″というブログの記事で、web上でも一部日本語で読めます。 http://japanese.joelonsoftware.com/ (★★★)

  • ドナルド・C・ゴース,ジェラルド・M・ワインバーグ: ライト、ついてますか

    ドナルド・C・ゴース,ジェラルド・M・ワインバーグ: ライト、ついてますか
    問題解決(一昔前のの流行語で言うところの『ソリューション』)能力は、システムエンジニアのスキルとして備えるべきもののうちのひとつです。しかし、これは難しい。学校で出されるテストと違い、唯一の、(問題提出者が想定している)解を求めるだけが「問題解決」では無いからです。そもそも、何が問題なのか、それは本当に問題なのか、それは本当に解決すべき問題なのか、その問題解決方法は正しいのか、などを解決しなければ、「その解は正しいのか」に辿りつくことができません。この本の最も良いところのひとつは、本があまり厚くないこと。すぐに読めるし、何回も読み返す気になるでしょう。 (★★★★★)

  • スティーブ・マコネル: ソフトウエア開発プロフェッショナル

    スティーブ・マコネル: ソフトウエア開発プロフェッショナル
    コードコンプリートで有名なスティーブマコネルの著書。新人SEに読んで欲しい。個人として業界の中でどうあるべきか、組織としてどうあるべきか、SEのプロ意識とは?SEの心構え概論、といったところでしょうか。また、業界における資格の重要性についても説かれています。この業界では資格が特に軽んじられる傾向がありますが、この傾向はどんな弊害をもたらすのか、将来的にこの業界は資格に対してどのような姿勢で臨んでいくべきなのか。日経BP社では(他の出版社もだが)最近、似たような類いのあまり面白くない書籍が乱出版されていますが、この本は別格だと思うので安心して購入して欲しいと思います。 (★★★★★)

無料ブログはココログ