パスワードを忘れた? アカウント作成
252594 story
ゲーム

PlayStation Network で知らないうちに請求される 68

ストーリー by reo
このごろ起動すらしていない 部門より

ある Anonymous Coward 曰く、

8 月下旬から、PlayStation Network において知らないうちにチャージが行われたり、買っていないゲームの購入痕跡があったり、身に覚えのない請求が来たりということが起きているらしい (SCEJ からの重要なお知らせより) 。

SCEJ によるとサーバーにセキュリティホールは見つかっておらず、メールアドレスやパスワードが何らかの形で第三者に取得された可能性が高いとのこと。価格.comのクチコミ掲示板に複数の被害者による報告が書き込まれている。

パスワード解析されたか、サーバーがクラックされたか、PS3 自身にウィルスが感染したかは分からないが、危険な事は確かなので皆さん気をつけてください。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2010年09月06日 11時47分 (#1820558)

    SONY系のISP So-net でも、なりすましで 同社のIP電話サービスを勝手に契約・使用されるということが起きていたようです。
    「So-netフォン」の不正アクセスの原因調査結果について [so-net.ne.jp]

    SONY系列ごと狙われてるんでしょうかね。

  • 違法にコピーされたゲームなどの非正規ソフトで遊べるようになります。そこで、そのデバイスの話題性に目をつけたサイバー犯罪者が、こっそりトロイの木馬をダウンロードさせるプログラムを混入させてばらまいていたということです。
    http://news.livedoor.com/article/detail/4983209/ [livedoor.com]
    ってことみたいですけど。
    • by Anonymous Coward on 2010年09月06日 16時41分 (#1820763)

      そちらはあまりに調子に乗って被害者を煽りまくったせいでかなり形勢不利になってますね [togetter.com]。煽りに参加した人の一部は既にアカウントを削除して逃亡したようですし…

      被害者は警察に被害届を出す際に「割れツール使用が原因だ!」と決めつけて記事を書いたブログを資料として提出したようです。それだけはっきりと書くなら何か知っているのだろうということで。そのブログの方やコメントで煽った方の証言を期待しましょうかね。

      親コメント
    • それのソースはエフセキュアのブログ(英語 [f-secure.com])(日本語 [f-secure.jp])
      PCにバックドアを仕込まれると書かれているが、PS3の影響については触れられていない。
      むしろ、Jailbreakとしては機能せず、PS3に影響はないというようにに思える。

      このブログに関するInternet Watchの記事 [impress.co.jp]を見ても、同様の印象を受ける。

      その印象どおりならば、PS3から直接PSN情報が抜かれたのではなく、PCに保存してあったメールアドレスやパスワードから不正利用されたという事になるのだけども。
      その方法でパスワードを抜かれていたなら、「ソフト購入時にパスワードを確認する設定だと購入されない」なんて事態が起きるだろうか?
      これが原因、と断じてしまうのは、いささか性急すぎる気がします。

      親コメント
  • by sunnydaysundey (32697) on 2010年09月07日 14時05分 (#1821222)

    価格コムの掲示板見てきたけど、ソニー信者(?)ってすごいんだなあ。
    Apple信者がすごいのは見聞きしてきたけど、ソニー信者も負けてないなと。

    特にこの人 [kakaku.com]なんてスゴすぎる。

    被害に遭っている方は全員ジェイルブレイクを使ってトロイの木馬に感染してしまったために、情報が流出してしまいこのような事態になっています。

    それ以外に被害に遭うはずがありませんからね。

    公式も被害にあった人はいると言っているけどそれが不明って感じのコメントをだしている時点で割れをしているのは確実です。

    「それ以外に被害に遭うはずがありません」という頼もしいまでの断言口調。

    では逆に質問します。

    ジェイルブレイクを使いトロイの木馬に感染した以外での今回の騒動の原因はありますか?

    スレ主であるテトラポット!さんは今回ジェイルブレイクを使用してこのような被害に遭った方々とほぼ同時に被害に遭っています。

    SCEのセキュリティーには問題ありませんでした。

    「SCEのセキュリティーには問題ありませんでした」て、社員じゃあるまいし
    なぜ断言できるんだ(笑)
    (いや、このスレのためだけにアカウント作ってるみたいだから社員かもしれないけど)

    いやもう頼もしく思えるほど、色々とスゴイ。

  • by Anonymous Coward on 2010年09月06日 11時42分 (#1820555)

    > SCEJ によるとサーバーにセキュリティホールは見つかっておらず
    そりゃ見つけたら塞ぐ手段をこうじるから、SCEJにしてみれば見つかっていないというでしょうね。

    セキュリティーホールがあるかどうかではなく、不正にアクセスされた痕跡があるかどうかのほうが問題と思います。
    それにセキュリティーホールって多くの場合、気付いていないけど開いているものでしょう。

    • 気になったんだけど、そういう事だとすると
      SCEは何らかのクラックを受けたとして、その痕跡を見つけることが今現在できていないって事を公言しちゃったって事になるの?
      それはそれとして現状の手の内をばらすことになってまずいんじゃないの?
      親コメント
    • by Anonymous Coward

      > > SCEJ によるとサーバーにセキュリティホールは見つかっておらず
      > そりゃ見つけたら塞ぐ手段をこうじるから、SCEJにしてみれば見つかっていないというでしょうね。
      > セキュリティーホールがあるかどうかではなく、不正にアクセスされた痕跡があるかどうかのほうが問題と思います。
      > それにセキュリティーホールって多くの場合、気付いていないけど開いているものでしょう。

      とらえ方の問題かも知れませんが、
      「ない」「ありません」と言い切っては居ませんね。
      在るかも知れないけどというニュアンスをユーザに向けて公表するのは混乱を招きます。
      「見つかっておらず」と言ってるので、現状見た限りでは見あたらない と受け取った方が良いかも。

    • by Anonymous Coward
      何だかへんてこりんな理屈をこねて、何が目的なの?
      アホなの?バカなの?w

      「見つかっていない」と書くことは何らおかしくも無いんじゃないの?
      痕跡があったなら、セキュリティーホールが存在する事になるんだから、
      進入の方法はさておき、素直なメーカーならそのように公表するでしょうし
      >br? あなたはSCEJは信用のおけないメーカーで、本当の事なんて言うはずが無い、
      見つかっていないという態度を決め込んでいる!
      と思っているならそう書けばいいだけじゃ?
  • by Anonymous Coward on 2010年09月06日 11時58分 (#1820567)
    勝手にトロステのプラチにゃ会員料分が
    クレジットカードからチャージされていたな・・・
  • by Anonymous Coward on 2010年09月06日 12時04分 (#1820573)
    問題の内容的に、iTunes Storeの不正利用が思い出されますけども、
    ソニーとして顧客に誠意ある対応を示すことができるかで信頼性を
    評価できるのではないかと思います。

    アップルの対応はあまりにも酷かった。

    「顧客に原因」と具体的な根拠を示さずに決めつけて、それで押し通るか
    他社のサービスでも発生している(からうちは酷くない)と主張するとか、
    日本以外のほうが酷い(日本国内はましなほう)と言ったりしないよう、
    注目したいところです。

    もちろん、顧客がフィッシングに遭って個人情報を流出させていて
    それが原因だったと判明したなら、ちゃんと「顧客が騙されたのが原因」と
    言っていいと思います。

    ソニーが誠意ある対応をとってくれたなら、私はiPod買わずにWalkmanを
    買うことを検討・推奨してもいいと思う。
    • by isi (4853) on 2010年09月06日 12時13分 (#1820575) 日記
      激しく同意、

      と、私がコメントしたら説得力あるだろうか。

      #今のままじゃiPodは買えない…
      親コメント
    • by Anonymous Coward

      想像してしまった

      高級レストランに殺到する「誠意を見せろよ!」な人々の図を

    • by Anonymous Coward

      不正利用の原因が本当にApple側にあったのかもわからないのに、そう決めつけた上で話を盛り上げた挙げ句、勝手にソニーに期待してウォークマン買っちゃうかもって…
      ソニーだって「セキュリティホールは見つかってない」って言ってるんだから、Appleと何が違うんだろう。

      • by Anonymous Coward
        > 不正利用の原因が本当にApple側にあったのかもわからないのに、
        > そう決めつけた上で話を盛り上げた挙げ句、

        どこにAppleに原因があると書いてあるの?
        書いてあるようには見えないけど、信者脳にしか見えない文字がある?

        >勝手にソニーに期待してウォークマン買っちゃうかもって…

        期待じゃなくて、Appleみたいな悪いパターンは取るなよ
        という意志表示なんじゃないの?

        >ソニーだって「セキュリティホールは見つかってない」って
        >言ってるんだから、Appleと何が違うんだろう。

    • by Anonymous Coward

      「誠意ある対応」って曖昧な言葉ですよね.
      その筋の人には恐喝にならないように現金を要求する言葉みたいですけど,一般人でも
      「自分が納得する対応」っていう社会全体からみてどうしたらいいか分からない主観的な
      判断のことに聞こえます.

      PSNの場合パスワード漏洩だけではチャージした金額分しか使い込めない上に購入履歴で
      分かりますから,被害があったとしても限定的で明白です.
      本体サーバーのクラックが起きたとしたら重大ですが,そうでなければ覚えのない請求
      というのもありそうには思えません.
      でも,「被害者」が納得しなければ「不誠実な対応」と言われるのでしょう.

      • by Anonymous Coward

        いや、マジな話買ってないものの代金を請求されたっていう場合、店側でその代金負担してくれればそれで済む。レシートと現品付き出して確認してもらえば、コンビニやスーパーだってやってくれる。ここまでのレベルならそのスジとか関係ないよ。

        それなのにそこを突っぱねられたらおいおいってなるぜ。客側としてはモノであろうと電子データであろうと関係無い。そこの確認システムをちゃんと実装していない/している、だけで突っぱねられて納得しろと言われても困る。
        その相手がAppleジャパンだろうとソニーだろうと銀行だろうとカード会社だろうと、ブーイング出る対応されたらブーイング出すしか無いでしょ。

        #このツリーで関連情報としてApple出すこと自体が悪いことだったということならマジすまん。

        • by Anonymous Coward

          PSNの課金は実物を扱っているスーパーとは違いますよね.
          データのダウンロード権を売っているわけで,言ってみればビデオのレンタル屋の方が近いでしょう.
          レンタル屋にレシートを持って行って「覚えがないから返金しろ」と言ったら立派なクレーマーではないかと.
          店側の出来る対応はいつどこで会員カードが使われたかを開示することか,カード会社への問い合わせが
          せいぜいではないでしょうか.
          返金するとしたらそれは「誠実な対応」ではなく「クレーマー対応」という特殊な処理になるかと思います.

          どちらにせよ,こういう話は被害者がどのような形で被害を被ったのか,その管理はどのようにされたのか
          という情報がないと第三者にはなんとも言えません.
          裁判になるか,被害者による証拠を伴ったレポートが見られれば判断のしようもあるでしょうが,それ以前には
          あまり実のある議論にはなりそうにないです.

          • by Anonymous Coward

            まあ起きてしまったものは事実関係を確認していかなきゃねっていうのは同意する。
            それでいいと思う。

            で、どっちも悪気はないのに
            ユーザー側には濡れ衣、
            ベンダー側にはクレーマー、
            というような損害を発生させてしまうシステムをさ、
            データのダウンロード権を売る商売にそのまま適用してしまうレベルで客商売しようなんて10年早いんじゃない?そういうリスクを何時までも放置して商売してちゃいかんよ。

      • by Anonymous Coward
        >「誠意ある対応」って曖昧な言葉ですよね.

        曖昧ですかね?
        普通に考えれば賠償金の要求ではなく、身に覚えのない請求に関して
        請求しないと言うことと、ちゃんと調べて、その結果を公表すること
        でしかないとおもいますけれど。

        例えばアップルのときは、「カード会社に言え」とか、「ユーザが原因」と
        発表するだけで、調査結果は出していません。
        システムの問題点はいくつか修正したようですが、それが原因とも言ってません。

        それは「誠意ある対応」ではないですね。

        > ユーザー本人に対して購入した日時とIPアドレスを示して,おそらく家族(とかペットとか)が
        > 勝手に購入したというこ
        • by Anonymous Coward

          動いてる金額に対して要求してるサポートのレベルがありえない。
          これがクレーマーか…

          • by Anonymous Coward

            問題は動く金額の多寡ではないと思うのだが。

          • by Anonymous Coward

            半分同意。しかし、ここで問題なのは、実害が確認されている(公表されている)金額ではなく、被害が起こりうる金額、つまり市場規模なんじゃないでしょうか。

        • by Anonymous Coward

          >>「誠意ある対応」って曖昧な言葉ですよね.
          >曖昧ですかね?
          曖昧でしょう。

          >普通に考えれば賠償金の要求ではなく、身に覚えのない請求に関して

          >それは「誠意ある対応」ではないですね。
          と書いてるように、「誠意ある対応」も「常識」も、その定義が人によって千差万別であることが問題なのですよ。

          ついでに
          >>問題は動く金額の多寡ではないと思うのだが。
          「お客様は神様です。」
          「金を払わない奴は客じゃねえ。」

          • by Anonymous Coward
            > と書いてるように、「誠意ある対応」も「常識」も、その定義が人によって千差万別であることが問題なのですよ。

            千差万別ではありません。中には非常識な人もいるでしょうが、大抵は合意にいたる類のものです。
            実社会では星の数ほどのトラブルがありますが、最終的に合意に至らない場合はまれです。

            > 曖昧でしょう。

            ちょっとでも曖昧だと全否定する態度が実に幼稚ですね。
      • by Anonymous Coward

        >「誠意ある対応」って曖昧な言葉ですよね.
        いいえとんでもない
        誠意ある対応を自らするのがまともな企業
        誠意ある対応を自ら要求しちゃうのがヤクザと昔からきまっておりまする。

        #Jobsはどっちでもなさげなのが不思議だ

  • by Anonymous Coward on 2010年09月06日 12時24分 (#1820583)

    メールアドレスでログインするの?
    それとも別にアカウント名を設定できるの?

    • Re:PSNって (スコア:4, 参考になる)

      by anonemouse (20052) on 2010年09月06日 12時57分 (#1820624)

      Eメールアドレス/パスワードでログインになります。
      別途アカウント名(アカウントID)が在りますが、フレンド登録などのために公開される物になっています。
      登録しているEメールアドレスが他のPSNユーザに露呈されるようなケースは見あたりません。

      購入フローについて
      ウォレットにチャージしてから購入という流れになります。
      チャージと購入の際にはそれぞれ当該Eメールアドレス宛にEメールが飛んできて確認出来ます。
      万が一、身に覚えのないチャージや購入のEメールが飛んできたら即刻パスワードの変更をするなどの防衛策を講じた方が良いと思います。

      親コメント
      • by ikotom (20155) on 2010年09月06日 13時17分 (#1820638)

        メールアドレスをログインIDにするサービスって結構増えてきていますよね。
        そのサービス内で公開される「ユーザー名」をログインIDとするよりは良いと思うけど、
        公開される属性であるのはメアドも同様のはず。

        セキュリティと利便性のトレードオフ的に悩みどころだとは思うのですが、

        ユーザー名: サービス内で他のユーザーに公開される「呼び名」
        ログインID: ログイン(認証)時のみに必要なもので、サービス内では一切使われない
        パスワード: ログインID同様だが、定期的に変えるもの

        とすべきかと思うんだけど、現実的には「認証のために2つ覚える」というのは
        受け入れられないのだろうか。

        親コメント
        • ログイン名って、本人が公開する分には良いんじゃないの?
          他人が外からシステムを叩いて、その名前(そのE-mailアドレス)が登録されているのを知ることが出来るってのは問題だろうけど、本人が公開している分には問題ないような気がするけど。
          あくまでも、認証の要はパスワードでしょう。

          だから現実的には「十分以上に長いパスワードにして、漏洩したり一部漏洩の恐れがあるときには即座に変更する」が良いんじゃないかなあ。

          親コメント
        • by Anonymous Coward
          「パスワードを定期的に変える」是非はともかく、「認証のために2つ覚える」は
          インターネットでの株やFX取引や、JRAの馬券購入など、結構導入されてる

          #ブラウザに記憶させてるしw
    • by denchu (6847) on 2010年09月06日 12時41分 (#1820602)

      メールアドレスでログインするの?
      それとも別にアカウント名を設定できるの?

      メールアドレスでのログインですね。

      親コメント
    • by Anonymous Coward

      それ以前に、なぜに「お客様へのお願い」のリンク先が自ドメに無い?w

      #いくらサポートが外注でも、せめてplaystation.com内に置こうよ

  • by Anonymous Coward on 2010年09月06日 12時32分 (#1820591)
    どうも、PSNでのソフト購入時にパスワードを確認するようにしていないと、勝手にばんばんソフトを購入されるようです。
    つまり、パスワードは分からないが、別のPCなりPS3なりで無理やりログイン状態に持っていける、ということなのかな?
    • PS3とPSPはどちらもPSNへの接続機能を持ってるため、ユーザ情報を共有することが可能です。
      ちょっと前にPSPを初期化しないで売ったらクレカやらも含めてユーザ情報が残ってたので
      ソフト買われ放題になっちゃったなんて話があったから、その類かと思うんですけどねぇ。
      親コメント
    • by Anonymous Coward
      ちょっと何言ってるのか分からない。

      1click購入(見たいな買い方)ができるとなんで無理矢理ログイン状態にできるんだよ。
      • ざっと掲示板の被害者の方々の主張を読みました。PSNでコンテンツを買う作業は2段階で、

        (1) ウォレットにクレジットカードからチャージする
        (2) ウォレットにチャージされた分を使ってコンテンツを買う

        (1)はPSNに、クレジットカード情報が登録されているアカウントでログインすれば、パスワードの入力無しに可能。 (2)の段階で改めてパスワードの入力を求めてくるか否かはユーザの設定次第。

        「(2)の段階で改めてパスワードの入力を求める」に設定していた被害者の方は、上限の20000円分までチャージされていたが何も買われていなかった。 そうじゃない被害者の方々は、7~8万円分ぐらい、チャージされた上、コンテンツが購入されていた、など。

        主張を信じるなら、「攻撃者はパスワードを割り出すことはできないが、被害者アカウントでPSNにログインできる」という攻撃方法が確立された、という推察になります。

        # ほんとはパスワードも割り出せてるけど、捜査攪乱のため割り出せてないふりをしている、とか言い出すときりが無いので略

        運営者なら、ログをチェックして、ユーザの正常な利用と、ユーザが不正にやられたと主張するチャージ・購入操作のリクエスト元のIPアドレスを比べるとか主張の真偽をもうちょっと詳しく調べられるでしょう。安心して使えるかどうかの判断のためにも、続報に期待したいです。
        親コメント
      • by Anonymous Coward
        逆でしょ。

        「無理矢理ログイン状態にできる」から、「1click購入」でパスワード知らなくても買えてしまう。
        って事かと。
      • by Anonymous Coward

        ログインしなければウォレットチャージが出来ない筈なのに
        購入時の認証を突破できず、チャージのみで諦めているケースが見られるならば
        当然考えられる可能性の1つでは?

  • by Anonymous Coward on 2010年09月06日 13時05分 (#1820633)

    被害を訴えた人の殆どが、パスワードが簡易に推測出来る状態※だったか
    PCにウィルスチェッカーを未導入だったとの事です。

    また殆どの人が「過去にもハックを受けた事がある」と回答したそうです。

    #MSEでも何でも良いから入れろよと、法律で強制するしかないのか?
    #ソース失念したので記憶で書いています、他力本願…

    ※"password"や生年月日、メールのアカウント部分や他のPWの使いまわし

  • by Anonymous Coward on 2010年09月06日 14時16分 (#1820687)
    知らないで請求されるって払わなくてもいいんじゃない?
  • by Anonymous Coward on 2010年09月06日 21時57分 (#1820886)
    ユーザーが身に覚えのない請求をされ、請求元に問い合わせても「あなたが使ったとしか思えない」と言われるのなら、そこにはコンピュータ犯罪があるわけです。
    速やかに警察に被害届を出すべきでしょう。あとは警察が犯人を見つけてくれます。
    被害にあった金額は、犯人への民事訴訟で取り返してください。

    これが日本の法制度です。請求元に請求を取り消せというのは、筋が通りません。
    また、警察に被害届を出しても犯人を捕まえてもらえないというのは、別の話。
    • by Anonymous Coward

      >請求元に請求を取り消せというのは、筋が通りません。

      一体誰がそんな事を?

      • by Anonymous Coward
        不正利用分の請求をするな、って言ってる人いなかったっけ?
typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...