PlayStation Network 個人情報漏洩 #psnleaks について電話サポートで質問してみた
XBox Liveの件に続き、こちらでもトラップにかかってしまいましたのでサポートで質問してみました。あんまり大した情報は得られませんでしたが一応記載しておきます。ちなみに電話が担当者につながるまで待ち時間は無かったです(自動応答のお詫び朗読時間はちょっと鬱陶しかったですが)。
1.漏洩が発覚するより以前からクレジットカード認証に障害が発生していた利用者が多くいたようだが、今回の件との関連はあるのか
今回の事象との関連は確認できていない。なお、クレジットカードの利用が行えなくなる原因としては
- 入力情報に誤りがある
- 認証サービスに障害が発生した
- 頻繁に情報を入力しなおすと認証にロックがかかる仕組みがあり、それが適用された(後述2ch.netスレ内にある、サポートで72時間待てと言われた、というのはこの件だと推測されます)
の3点が考えられ、これらのいずれかに該当していた可能性もある。
2ch.netのPlayStation Store不具合スレにあるように、遅くとも今年の頭以降、PSNでクレジットカード利用ができない人が複数人いました。
私は今年の3月末から利用し始めたのですが、初回購入は正しく認証できたものの、2回目以降情報を更新していないにもかかわらず認証ではじかれる、という事象が発生していたのでついでに聞いてみました。当時もサポートに連絡しようとしたのですが、震災の影響でメール/電話サポート共に止まっており、結局他のカード番号を入力して試してみる、という、今考えるとセキュリティ意識に欠ける行動をとってしまいました…
2.いつの時点の個人情報が漏えいしたのか
現時点の調査では、可能性が高いのはサービス停止時に登録していた個人情報、ということだそうです。
ただクラッキングを自動で検知してサービス停止していた、のような事実でもない限り上記の回答を鵜呑みにしても仕方が無いですね。調査が進むとこの点も明らかになってくるかもしれませんが、今の時点では入力したことのある全ての情報に対して、と考えておく方がより防御的でしょう。
前述の通り、私の場合は複数種のカード番号を入力したりしているので手続きが面倒なことになりそうです…
3.セキュリティコードの漏洩は無い、というのは確認が取れている事実なのか
回答としては、今のところ利用履歴などからセキュリティコードが漏洩した事実は確認されていない、とのことでした。
セキュリティコード入力について、最近PSNを利用していなかったので入力していないと思い込んでいる、という方も多そうなので補足をすると、それは思い違いです。公式サイトのQ&Aにも入力方法について記載があります。
音元出版社のニュース記事『ソニー、PSN/Qriocity情報流出の新情報を公開 - カード情報は暗号化、個人情報は暗号化せず』という記事の中で
Q:クレジットカードのデータは盗まれたのか?
A:(中略)これはぜひ覚えて置いて欲しいが、CVCやCSCというセキュリティコードは、第三者に取得されていない。これは、我々がPSN/Qriocityについてこの情報を送信するよう顧客に要請したことがなく、システムにもともと情報が存在しないからだ。
というソニーのSony Computer Entertainment America(SCEA)社公式blog “PlayStation.Blog” のエントリQ&A #1 for PlayStation Network and Qriocity Services和訳が掲載されています。この記事の転載がweb上で出回っているのを何度か見かけましたが、この点についてSCEA社のエントリは既に更新されています。
Keep in mind, however that your credit card security code (sometimes called a CVC or CSC number) has not been obtained because we never requested it from anyone who has joined the PlayStation Network or Qriocity, and is therefore not stored anywhere in our system.UPDATE: While we do ask for CSC codes, we do not store them in our database.
この記述から推測するに、現時点でSCE社は
- 漏洩した個人情報は多くともデータベースに保存されているものに限られる
という見通しを立てているように思われます。が、それが事実かどうかは今の段階の調査で断言してよいのだろうかとは思います。今の時点での回答はあんまり期待しない方が良さそうだ、というのが感触でした。
4.個人情報漏洩に対する被害が発生する前に、予防的にクレジットカード番号の変更を行った際の手数料をSCE社が補償するつもりはない、という認識は正しいか
対応については検討中のものあり、決定したものは公式サイトに掲載する、とのことでした。まあ「ありません」とか回答すると電話口でブチ切れられるだけでしょうし、あんまり期待しないで質問してみました。…というか、今FAQ見たら5月3日更新分に同じ内容のことが書かれていますね。確認漏れでした…
モバゲーなんかも個人情報の削除には対応してくれない、という話もあるそうですが、法律で規定されていないから削除しない、という運営方針で今後もコンセンサスが取れていると主張し続けられるのかは気になるところです。
サーバーとの通信を2重暗号化するなどの対策が急務:三輪信雄「ここが変だよみんなの対策」では
今回の攻撃方法がどのようなものであったかは分かりませんが、一つの可能性としてゲーム機の通信を解析することによって、サーバーの脆弱性を暴いて、それを悪用した可能性があります。
(中略)サーバーとの通信を密に行うようなケースでは、サーバーとの通信の2重の暗号化などの総合的な対策が必要とされます。
というようなことが書かれていますが、ゲーム機で実現しているオンライン対戦ではレイテンシ短縮も重要なので、暗号化/復号処理が複雑になるのは、それはそれで問題でしょうね。というか、本当に記載している内容が仮に事実だったとすると、そんなことをするよりクレジットカード等の情報が必要なAPサーバだかDBサーバだかとそれ以外に使用するものを分ける方が優先順位は高いと思いますが…
最近のコメント