PlayStation Network で知らないうちに請求される 68
ストーリー by reo
このごろ起動すらしていない 部門より
このごろ起動すらしていない 部門より
ある Anonymous Coward 曰く、
8 月下旬から、PlayStation Network において知らないうちにチャージが行われたり、買っていないゲームの購入痕跡があったり、身に覚えのない請求が来たりということが起きているらしい (SCEJ からの重要なお知らせより) 。
SCEJ によるとサーバーにセキュリティホールは見つかっておらず、メールアドレスやパスワードが何らかの形で第三者に取得された可能性が高いとのこと。価格.comのクチコミ掲示板に複数の被害者による報告が書き込まれている。
パスワード解析されたか、サーバーがクラックされたか、PS3 自身にウィルスが感染したかは分からないが、危険な事は確かなので皆さん気をつけてください。
関連性の有無については未確認です (スコア:3, 参考になる)
SONY系のISP So-net でも、なりすましで 同社のIP電話サービスを勝手に契約・使用されるということが起きていたようです。
「So-netフォン」の不正アクセスの原因調査結果について [so-net.ne.jp]
SONY系列ごと狙われてるんでしょうかね。
Re: (スコア:0)
まったくだ。そんな、IP電話サービスなんて生易しいものではなく、銀行のアカウント狙いのボットとかも、現状常時巡回しているというのに。あと、勝手に使われたという人は別に日本人だけではないのに、そういうのは無視なんだよね。
Strange issue with my account! [playstation.com]
これって,不正ユーザが引っかかっただけじゃないの? (スコア:3, 参考になる)
http://news.livedoor.com/article/detail/4983209/ [livedoor.com]
ってことみたいですけど。
Re:これって,不正ユーザが引っかかっただけじゃないの? (スコア:1, 参考になる)
そちらはあまりに調子に乗って被害者を煽りまくったせいでかなり形勢不利になってますね [togetter.com]。煽りに参加した人の一部は既にアカウントを削除して逃亡したようですし…
被害者は警察に被害届を出す際に「割れツール使用が原因だ!」と決めつけて記事を書いたブログを資料として提出したようです。それだけはっきりと書くなら何か知っているのだろうということで。そのブログの方やコメントで煽った方の証言を期待しましょうかね。
Re:これって,不正ユーザが引っかかっただけじゃないの? (スコア:1)
それのソースはエフセキュアのブログ(英語 [f-secure.com])(日本語 [f-secure.jp])
PCにバックドアを仕込まれると書かれているが、PS3の影響については触れられていない。
むしろ、Jailbreakとしては機能せず、PS3に影響はないというようにに思える。
このブログに関するInternet Watchの記事 [impress.co.jp]を見ても、同様の印象を受ける。
その印象どおりならば、PS3から直接PSN情報が抜かれたのではなく、PCに保存してあったメールアドレスやパスワードから不正利用されたという事になるのだけども。
その方法でパスワードを抜かれていたなら、「ソフト購入時にパスワードを確認する設定だと購入されない」なんて事態が起きるだろうか?
これが原因、と断じてしまうのは、いささか性急すぎる気がします。
信者すげえ (スコア:1)
価格コムの掲示板見てきたけど、ソニー信者(?)ってすごいんだなあ。
Apple信者がすごいのは見聞きしてきたけど、ソニー信者も負けてないなと。
特にこの人 [kakaku.com]なんてスゴすぎる。
「それ以外に被害に遭うはずがありません」という頼もしいまでの断言口調。
「SCEのセキュリティーには問題ありませんでした」て、社員じゃあるまいし
なぜ断言できるんだ(笑)
(いや、このスレのためだけにアカウント作ってるみたいだから社員かもしれないけど)
いやもう頼もしく思えるほど、色々とスゴイ。
"見つかっておらず"ですか? (スコア:0, 興味深い)
> SCEJ によるとサーバーにセキュリティホールは見つかっておらず
そりゃ見つけたら塞ぐ手段をこうじるから、SCEJにしてみれば見つかっていないというでしょうね。
セキュリティーホールがあるかどうかではなく、不正にアクセスされた痕跡があるかどうかのほうが問題と思います。
それにセキュリティーホールって多くの場合、気付いていないけど開いているものでしょう。
Re:"見つかっておらず"ですか? (スコア:1)
SCEは何らかのクラックを受けたとして、その痕跡を見つけることが今現在できていないって事を公言しちゃったって事になるの?
それはそれとして現状の手の内をばらすことになってまずいんじゃないの?
Re: (スコア:0)
> > SCEJ によるとサーバーにセキュリティホールは見つかっておらず
> そりゃ見つけたら塞ぐ手段をこうじるから、SCEJにしてみれば見つかっていないというでしょうね。
> セキュリティーホールがあるかどうかではなく、不正にアクセスされた痕跡があるかどうかのほうが問題と思います。
> それにセキュリティーホールって多くの場合、気付いていないけど開いているものでしょう。
とらえ方の問題かも知れませんが、
「ない」「ありません」と言い切っては居ませんね。
在るかも知れないけどというニュアンスをユーザに向けて公表するのは混乱を招きます。
「見つかっておらず」と言ってるので、現状見た限りでは見あたらない と受け取った方が良いかも。
Re: (スコア:0)
アホなの?バカなの?w
「見つかっていない」と書くことは何らおかしくも無いんじゃないの?
痕跡があったなら、セキュリティーホールが存在する事になるんだから、
進入の方法はさておき、素直なメーカーならそのように公表するでしょうし
>br? あなたはSCEJは信用のおけないメーカーで、本当の事なんて言うはずが無い、
見つかっていないという態度を決め込んでいる!
と思っているならそう書けばいいだけじゃ?
そういえば (スコア:0)
クレジットカードからチャージされていたな・・・
Re:そういえば (スコア:2, すばらしい洞察)
それはデフォルトが会員自動継続する設定になっててお前さんが解約し忘れただけじゃねーの?
あんだけ案内でそうだと念押しされてても読まない奴は読まないんだな。
Re: (スコア:0)
Re:そういえば (スコア:1)
http://manuals.playstation.net/document/jp/ps3/current/store/wallet.html [playstation.net]
良い対応をするかに注目 (スコア:0, 荒らし)
ソニーとして顧客に誠意ある対応を示すことができるかで信頼性を
評価できるのではないかと思います。
アップルの対応はあまりにも酷かった。
「顧客に原因」と具体的な根拠を示さずに決めつけて、それで押し通るか
他社のサービスでも発生している(からうちは酷くない)と主張するとか、
日本以外のほうが酷い(日本国内はましなほう)と言ったりしないよう、
注目したいところです。
もちろん、顧客がフィッシングに遭って個人情報を流出させていて
それが原因だったと判明したなら、ちゃんと「顧客が騙されたのが原因」と
言っていいと思います。
ソニーが誠意ある対応をとってくれたなら、私はiPod買わずにWalkmanを
買うことを検討・推奨してもいいと思う。
Re:良い対応をするかに注目 (スコア:3, 興味深い)
と、私がコメントしたら説得力あるだろうか。
#今のままじゃiPodは買えない…
Re: (スコア:0)
想像してしまった
高級レストランに殺到する「誠意を見せろよ!」な人々の図を
Re: (スコア:0)
不正利用の原因が本当にApple側にあったのかもわからないのに、そう決めつけた上で話を盛り上げた挙げ句、勝手にソニーに期待してウォークマン買っちゃうかもって…
ソニーだって「セキュリティホールは見つかってない」って言ってるんだから、Appleと何が違うんだろう。
Re: (スコア:0)
> そう決めつけた上で話を盛り上げた挙げ句、
どこにAppleに原因があると書いてあるの?
書いてあるようには見えないけど、信者脳にしか見えない文字がある?
>勝手にソニーに期待してウォークマン買っちゃうかもって…
期待じゃなくて、Appleみたいな悪いパターンは取るなよ
という意志表示なんじゃないの?
>ソニーだって「セキュリティホールは見つかってない」って
>言ってるんだから、Appleと何が違うんだろう。
全
Re: (スコア:0)
「誠意ある対応」って曖昧な言葉ですよね.
その筋の人には恐喝にならないように現金を要求する言葉みたいですけど,一般人でも
「自分が納得する対応」っていう社会全体からみてどうしたらいいか分からない主観的な
判断のことに聞こえます.
PSNの場合パスワード漏洩だけではチャージした金額分しか使い込めない上に購入履歴で
分かりますから,被害があったとしても限定的で明白です.
本体サーバーのクラックが起きたとしたら重大ですが,そうでなければ覚えのない請求
というのもありそうには思えません.
でも,「被害者」が納得しなければ「不誠実な対応」と言われるのでしょう.
ユ
Re: (スコア:0)
いや、マジな話買ってないものの代金を請求されたっていう場合、店側でその代金負担してくれればそれで済む。レシートと現品付き出して確認してもらえば、コンビニやスーパーだってやってくれる。ここまでのレベルならそのスジとか関係ないよ。
それなのにそこを突っぱねられたらおいおいってなるぜ。客側としてはモノであろうと電子データであろうと関係無い。そこの確認システムをちゃんと実装していない/している、だけで突っぱねられて納得しろと言われても困る。
その相手がAppleジャパンだろうとソニーだろうと銀行だろうとカード会社だろうと、ブーイング出る対応されたらブーイング出すしか無いでしょ。
#このツリーで関連情報としてApple出すこと自体が悪いことだったということならマジすまん。
Re: (スコア:0)
PSNの課金は実物を扱っているスーパーとは違いますよね.
データのダウンロード権を売っているわけで,言ってみればビデオのレンタル屋の方が近いでしょう.
レンタル屋にレシートを持って行って「覚えがないから返金しろ」と言ったら立派なクレーマーではないかと.
店側の出来る対応はいつどこで会員カードが使われたかを開示することか,カード会社への問い合わせが
せいぜいではないでしょうか.
返金するとしたらそれは「誠実な対応」ではなく「クレーマー対応」という特殊な処理になるかと思います.
どちらにせよ,こういう話は被害者がどのような形で被害を被ったのか,その管理はどのようにされたのか
という情報がないと第三者にはなんとも言えません.
裁判になるか,被害者による証拠を伴ったレポートが見られれば判断のしようもあるでしょうが,それ以前には
あまり実のある議論にはなりそうにないです.
Re: (スコア:0)
まあ起きてしまったものは事実関係を確認していかなきゃねっていうのは同意する。
それでいいと思う。
で、どっちも悪気はないのに
ユーザー側には濡れ衣、
ベンダー側にはクレーマー、
というような損害を発生させてしまうシステムをさ、
データのダウンロード権を売る商売にそのまま適用してしまうレベルで客商売しようなんて10年早いんじゃない?そういうリスクを何時までも放置して商売してちゃいかんよ。
Re: (スコア:0)
曖昧ですかね?
普通に考えれば賠償金の要求ではなく、身に覚えのない請求に関して
請求しないと言うことと、ちゃんと調べて、その結果を公表すること
でしかないとおもいますけれど。
例えばアップルのときは、「カード会社に言え」とか、「ユーザが原因」と
発表するだけで、調査結果は出していません。
システムの問題点はいくつか修正したようですが、それが原因とも言ってません。
それは「誠意ある対応」ではないですね。
> ユーザー本人に対して購入した日時とIPアドレスを示して,おそらく家族(とかペットとか)が
> 勝手に購入したというこ
Re: (スコア:0)
動いてる金額に対して要求してるサポートのレベルがありえない。
これがクレーマーか…
Re: (スコア:0)
問題は動く金額の多寡ではないと思うのだが。
Re: (スコア:0)
半分同意。しかし、ここで問題なのは、実害が確認されている(公表されている)金額ではなく、被害が起こりうる金額、つまり市場規模なんじゃないでしょうか。
Re: (スコア:0)
>>「誠意ある対応」って曖昧な言葉ですよね.
>曖昧ですかね?
曖昧でしょう。
>普通に考えれば賠償金の要求ではなく、身に覚えのない請求に関して
>それは「誠意ある対応」ではないですね。
と書いてるように、「誠意ある対応」も「常識」も、その定義が人によって千差万別であることが問題なのですよ。
ついでに
>>問題は動く金額の多寡ではないと思うのだが。
「お客様は神様です。」
「金を払わない奴は客じゃねえ。」
Re: (スコア:0)
千差万別ではありません。中には非常識な人もいるでしょうが、大抵は合意にいたる類のものです。
実社会では星の数ほどのトラブルがありますが、最終的に合意に至らない場合はまれです。
> 曖昧でしょう。
ちょっとでも曖昧だと全否定する態度が実に幼稚ですね。
Re: (スコア:0)
>「誠意ある対応」って曖昧な言葉ですよね.
いいえとんでもない
誠意ある対応を自らするのがまともな企業
誠意ある対応を自ら要求しちゃうのがヤクザと昔からきまっておりまする。
#Jobsはどっちでもなさげなのが不思議だ
PSNって (スコア:0)
メールアドレスでログインするの?
それとも別にアカウント名を設定できるの?
Re:PSNって (スコア:4, 参考になる)
Eメールアドレス/パスワードでログインになります。
別途アカウント名(アカウントID)が在りますが、フレンド登録などのために公開される物になっています。
登録しているEメールアドレスが他のPSNユーザに露呈されるようなケースは見あたりません。
購入フローについて
ウォレットにチャージしてから購入という流れになります。
チャージと購入の際にはそれぞれ当該Eメールアドレス宛にEメールが飛んできて確認出来ます。
万が一、身に覚えのないチャージや購入のEメールが飛んできたら即刻パスワードの変更をするなどの防衛策を講じた方が良いと思います。
Re:PSNって (スコア:2)
メールアドレスをログインIDにするサービスって結構増えてきていますよね。
そのサービス内で公開される「ユーザー名」をログインIDとするよりは良いと思うけど、
公開される属性であるのはメアドも同様のはず。
セキュリティと利便性のトレードオフ的に悩みどころだとは思うのですが、
ユーザー名: サービス内で他のユーザーに公開される「呼び名」
ログインID: ログイン(認証)時のみに必要なもので、サービス内では一切使われない
パスワード: ログインID同様だが、定期的に変えるもの
とすべきかと思うんだけど、現実的には「認証のために2つ覚える」というのは
受け入れられないのだろうか。
それたまに聞くんだけども(Re:PSNって (スコア:2)
ログイン名って、本人が公開する分には良いんじゃないの?
他人が外からシステムを叩いて、その名前(そのE-mailアドレス)が登録されているのを知ることが出来るってのは問題だろうけど、本人が公開している分には問題ないような気がするけど。
あくまでも、認証の要はパスワードでしょう。
だから現実的には「十分以上に長いパスワードにして、漏洩したり一部漏洩の恐れがあるときには即座に変更する」が良いんじゃないかなあ。
Re: (スコア:0)
インターネットでの株やFX取引や、JRAの馬券購入など、結構導入されてる
#ブラウザに記憶させてるしw
Re:PSNって (スコア:2)
メールアドレスでログインするの?
それとも別にアカウント名を設定できるの?
メールアドレスでのログインですね。
Re: (スコア:0)
それ以前に、なぜに「お客様へのお願い」のリンク先が自ドメに無い?w
#いくらサポートが外注でも、せめてplaystation.com内に置こうよ
無理やりログイン状態に持っていける? (スコア:0)
つまり、パスワードは分からないが、別のPCなりPS3なりで無理やりログイン状態に持っていける、ということなのかな?
Re:無理やりログイン状態に持っていける? (スコア:1)
ちょっと前にPSPを初期化しないで売ったらクレカやらも含めてユーザ情報が残ってたので
ソフト買われ放題になっちゃったなんて話があったから、その類かと思うんですけどねぇ。
Re: (スコア:0)
1click購入(見たいな買い方)ができるとなんで無理矢理ログイン状態にできるんだよ。
Re:無理やりログイン状態に持っていける? (スコア:5, 興味深い)
(1) ウォレットにクレジットカードからチャージする
(2) ウォレットにチャージされた分を使ってコンテンツを買う
(1)はPSNに、クレジットカード情報が登録されているアカウントでログインすれば、パスワードの入力無しに可能。 (2)の段階で改めてパスワードの入力を求めてくるか否かはユーザの設定次第。
「(2)の段階で改めてパスワードの入力を求める」に設定していた被害者の方は、上限の20000円分までチャージされていたが何も買われていなかった。 そうじゃない被害者の方々は、7~8万円分ぐらい、チャージされた上、コンテンツが購入されていた、など。
主張を信じるなら、「攻撃者はパスワードを割り出すことはできないが、被害者アカウントでPSNにログインできる」という攻撃方法が確立された、という推察になります。
# ほんとはパスワードも割り出せてるけど、捜査攪乱のため割り出せてないふりをしている、とか言い出すときりが無いので略
運営者なら、ログをチェックして、ユーザの正常な利用と、ユーザが不正にやられたと主張するチャージ・購入操作のリクエスト元のIPアドレスを比べるとか主張の真偽をもうちょっと詳しく調べられるでしょう。安心して使えるかどうかの判断のためにも、続報に期待したいです。
Re: (スコア:0)
被害者に何時何分にどのIPから何を購入したかを開示できればいいのに
お互い犯人または原因をみつけたいだろうにな
Re: (スコア:0)
過去にこういうのありましたね。PLAYSTATION Storeに脆弱性。パスワードが変更された可能性 [impress.co.jp]
修正したつもりだったのに実はまだ弱点が残っていたとかもありえますね
Re: (スコア:0)
「無理矢理ログイン状態にできる」から、「1click購入」でパスワード知らなくても買えてしまう。
って事かと。
Re: (スコア:0)
ログインしなければウォレットチャージが出来ない筈なのに
購入時の認証を突破できず、チャージのみで諦めているケースが見られるならば
当然考えられる可能性の1つでは?
被害報告のあった海外のSNSでのヒアリングでは (スコア:0)
被害を訴えた人の殆どが、パスワードが簡易に推測出来る状態※だったか
PCにウィルスチェッカーを未導入だったとの事です。
また殆どの人が「過去にもハックを受けた事がある」と回答したそうです。
#MSEでも何でも良いから入れろよと、法律で強制するしかないのか?
#ソース失念したので記憶で書いています、他力本願…
※"password"や生年月日、メールのアカウント部分や他のPWの使いまわし
あえて言おう (スコア:0)
民事ではなく刑事にすればいい (スコア:0)
速やかに警察に被害届を出すべきでしょう。あとは警察が犯人を見つけてくれます。
被害にあった金額は、犯人への民事訴訟で取り返してください。
これが日本の法制度です。請求元に請求を取り消せというのは、筋が通りません。
また、警察に被害届を出しても犯人を捕まえてもらえないというのは、別の話。
Re: (スコア:0)
>請求元に請求を取り消せというのは、筋が通りません。
一体誰がそんな事を?
Re: (スコア:0)