米Sony Picturesなど複数のサイトで100万人以上の個人情報流出か 67
ストーリー by headless
LulzSecのWebサイトは一部オフライン 部門より
LulzSecのWebサイトは一部オフライン 部門より
cheez 曰く、
Lulz Security(LulzSec)と名乗るグループが、複数のソニー海外子会社のWebサイトに不正侵入し、顧客データなどを入手したことを6月2日(米国時間)に発表した (CNN.co.jpの記事、CNET Japanの記事、本家/.)。
LulzSecによると、米Sony Pictures Entertainment(SPE)のWebサイトから100万件以上の顧客データを入手したとのこと。他にも音楽クーポンや管理データなども入手したとのことで、同グループのWebサイトで一部を公開したほか、トレントファイルのリンクをツイッターに投稿している。また、ベルギーとオランダのSony BMGも標的になっており、従業員のパスワードやCDの発売日、バーコードデータなどを入手したとしている。
SPEは米国時間6月3日、不正侵入を確認したとのこと(プレスリリース、asahi.comの記事)。
ソニーって電機業界の東電だなと思う、10の理由 (スコア:3, すばらしい洞察)
・何度も同じ過ちを犯す
・事前に対策を練らない&とらない
・「しっかり対策してる」と、上層部の言葉だけはいつも自信たっぷり
・消費者(国民)のコトなど二の次
・日本の企業なのに、なんだかよその国の企業に思えてくる
・「自分らは被害者だ!」という認識を抱いている
・敵が多い
・一応これでも大企業
・世界に迷惑をかけている
Re:ソニーって電機業界の東電だなと思う、10の理由 (スコア:2, おもしろおかしい)
数えて10個あったときのがっかりさといったら…
Re:ソニーって電機業界の東電だなと思う、10の理由 (スコア:1, すばらしい洞察)
>・情報をすぐに開示しない
>・何度も同じ過ちを犯す
>・事前に対策を練らない&とらない
>・「しっかり対策してる」と、上層部の言葉だけはいつも自信たっぷり
>・消費者(国民)のコトなど二の次
同感だけど、これって単なる日本の大企業の伝統じゃ無いの。
Re: (スコア:0)
Re:ソニーって電機業界の東電だなと思う、10の理由 (スコア:1)
けれどいくら言ったって無くならないのも当然です。
まるで自然災害に「ふざけんな!」と言ってるのと同じじゃないかと。
だったらそれに対しての備えや対策や管理をしっかりするべきでしょう。って思うんです。
・ハッキングなどは予測できた。なのに事前対策を怠っていた
・グループ内でクラックされまくってるのに、まだセキュリティの穴を放置していた
・被害があったなら、サービスを利用しているユーザーに速やかに通知すべきだった
・日本においては、どこから利用停止要請が出ていてサービス再開が長引いているのかすらSonyは明示していない
・ユーザーのことより、訴訟での請求額が上がらないようあくまでも被害者の姿勢を貫いている
誰が悪いのかじゃないです。
なぜSonyが叩かれるか、だと思います。そしてその理由が見事に東電のと重なってるんです。
#攻撃者にシンパシーを感じてるのかという質問は興味深いですね。
#時間が経つにつれてソニーの情けない姿が浮き彫りになると、あるいは「ハッカーよくやった」と思っても仕方ないかもしれません。
Re: (スコア:0)
やっぱり、別個の事件だと思うけどな。
Re: (スコア:0)
>・グループ内でクラックされまくってるのに、まだセキュリティの穴を放置していた
他のコメントにもあるように他人事のように考えていたというのもあるのだろうけど
SONYみたいに大きい企業になってしまうと変えようと思ってもすぐには変えられない体質ってのもあるんじゃないかな。
とくに現場の人間が危機感を抱いても責任をおう管理者レベルでことなかれにはしって何もしないというのは
パッチを当てることについてはよくあることです。
たとえば、パッチを当てあるとシステムがとまるかもしれないなんてのは、よくある
Re:ソニーって電機業界の東電だなと思う、10の理由 (スコア:1)
>備えが足りない、事後の対応が宜しくない点は共通するとして、かたや自然災害、かたや犯罪被害。悪意を持って攻撃を仕掛けている側がいる、という点を差し置いて被害側だけ叩く心理が知りたい。ぶっちゃけ攻撃者に共感してるの?
スラッシュドットの個人情報流出に対してのコメントはいつもこんな感じですよ。むしろソニーだから擁護意見もポチポチ見られるのかな、という気がします。
とはいえ、個人情報を預かるなら性悪説で管理せよというのは世間の常識にした方が良いと思いますが。
Re:ソニーって電機業界の東電だなと思う、10の理由 (スコア:1)
>まあ要するに、預けた個人情報は正しく管理されぬものと思え、って事ですね。
エンドユーザー対ソニーという視点の話でしょうかね。だったら被害者はエンドユーザーで加害者はソニーということになりますね。私のコメントはソニー対犯罪者の話についてのものです。
というか、個人情報を預ける時は慎重にってのは既に世間の常識だと思ってましたが…案外そうでもないのかな。
Re: (スコア:0)
「神様が悪意を持って仕掛けた」
って、与謝野さんが言ってたよ。
神様は、たたけないか・・・・
Re: (スコア:0)
それに対し、攻撃を受けた側は普通なら被害者であるはずなのに、
それだけではないとなれば話題性が生まれ、語られる対象となります。
個人情報取扱事業者には顧客からお預かりしている個人情報を適切に保護する義務がありますから、
自分たちが攻撃の対象となっていることを知っていれば適切な対策を行うのが当然であり、
もし仮に十分な対策をとらずに流出を招いたのであれば個人情報取扱事業者としてあるまじき行動ですから
そこは大いに批判されてしかるべきでしょうし、十分な対策をとられていたかどうかについては
興味深い議論の題材になりえます。
Re: (スコア:0)
1)自然災害
散々起こる起こるとはいわれ続けていた。
日本は元々地震大国である。
備えが足りなかったが「していなかったわけではない」
2)犯罪被害
ハッキングされる危険性があることは大企業であればあるほどわかっていたはず。
インターネットを安全だと思っている人間なんて一握り。
備えが足りない所か「脆弱性」があることを知っていたという旨の発言がある。
動作しているサービスに対して侵入したのではなく「SQLインジェクション」による流出である。
SQLインジェクションは故意に起さずとも知らずに起してしまう可能性はある。
よって、私はSonyの方が東電よりも悪いと考える。
その「
Re: (スコア:0)
情報を預っていた企業にも責任があるというのはそうですね。それは現在進行形で責められている点でしょう。
>> まともにセキュリティ対策をしていれば防げたものを流出させてしまったのは誰ですか?
もちろん攻撃者ですよね。;p
通り一辺倒のセキュリティを施せば防げたのかも知れませんし、攻撃者の技術と執念次第で最終的に防げた事案なのかどうか、それは私には分かりません。
Re: (スコア:0)
>> まともにセキュリティ対策をしていれば防げたものを流出させてしまったのは誰ですか?
違います、「攻撃者」が行ったのは「取得」であって「流出」させたのはSonyです。
SQLインジェクションってタダ単に検索ワード何かを適当に設定してやると
その項目があったらでてきちゃうとか
SQL文を検索に対して渡してやると検索してしまうとかそういうレベルの攻撃です。
その程度の「対策」も施していない時点で可笑しいんです。
だから、攻撃者を叩く云々以前に情けないSonyが叩かれて当たり前です。
攻撃者が悪いのなんて分かりきっていることですが
鍵もかけずに置いておいた挙句に勝手にもって行かれたから騒いでいるのがSonyです。
大事な物は仕舞っておきなさいって言われたでしょう?
貴重品は身に着けなさいとか言われたでしょう?
その程度のことも出来ないのがSonyだったんですよ。
Re: (スコア:0)
↑ここを省く人が多いから、ちょっと離れたところから見てると違和感があるんだ。
上の方のコメントにも出てたけど、攻撃者に感情移入してるように見える人もいる。
いちいち「攻撃者が悪い」と言えばいいかというと、そういうもんでもないだろうし、
なんでだろ。
端から見てるとそう見えるってだけだけどね。
Re: (スコア:0)
違います、「攻撃者」が行ったのは「取得」であって「流出」させたのはSonyです。
同意できません。攻撃者が行ったのは取得と流出です。窃盗行為に対する非難を「差し置いて」鍵がかかっていた手落ちを責めることで、窃盗行為そのものの罪を矮小化することに強く意義を申し立てます。
ここで『攻撃者』とくくって断るぐらい、これが攻撃でもなんでもないと主張されたいのでしょうか。
取得できることを証明するために公開したから正義だ、罪がない、とでも仰りたい?
Re: (スコア:0)
不用心な銀行が銀行強盗に入られて、いやぁ、災難でしたねぇで済ませられますか?。馬鹿も休み休みに
言ってください。誰も犯罪者が正義だなんて言ってない。この場合、盗った方も盗られる方も同時に責め
られるべきだというだけの事です。他人の貴重品(個人情報)を預かるという事は それだけの重責が
有るのですよ。それを、のらりくらりと言い逃れをしているから余計に叩かれているだけの事です。
ソニーに罪があれば、犯罪者には罪が無いと言った事になるなんて、一体どんな思考回路なんでしょうか?。
トランジスタ屋にソフトサービスは無理 (スコア:2)
パナソニックが映画会社を買ったものの経営が出来なくて
手放したことがありました。
会社には事業ドメインがあって、畑違いのことをやるなら
事業ドメインから考え直さないと無理じゃないかな。
畑違いのことができる異能の人材を採用することができないし、
育てるノウハウも持ち合わせていないですから。
SONYは遺伝子レベルで取り替えないとダメですね。
6月2日、同じ日の話 (スコア:2)
ソニー情報流出 米下院で公聴会
http://www.yomiuri.co.jp/net/news/20110603-OYT8T00260.htm [yomiuri.co.jp]
今回の問題で、ソニー側から米議会の公聴会に証人が出るのは初めて。5月4日の公聴会では、プレイステーションの公式ブログを通じて情報流出を発表したことについて、「顧客への通知を怠り、情報漏れの事実を探す負担を顧客に負わせた」などの批判が出た。
ソニー側はこれに対し、情報を公開した公式ブログについて、「影響力を持つブログとして、上位20位に格付けされており、米ホワイトハウスのブログに次ぐ位置にある」と主張、ブログによる情報公開は、「直接かつ迅速に顧客と意思疎通するため、最善な手法の一つだ」と反論している。
-----------------------------------------------------------
実は今回は、数日前に侵入予告および侵入状況報告がありました。
Hacking Group: “It’s The Beginning Of The End For Sony”, Promises More Hacks Soon
http://gamingbolt.com/hacking-group-its-the-beginning-of-the-end-for-s... [gamingbolt.com]
LulzSec, which had previouslyhacked Sony BMG’s Japanese website (according to Forbes) has promised more attacks against Sony and claimed that this is the beginning of the end for Sony.
「やあやあソニーさん、あんたさんは俺達がたった今ハック中なことに気づいているかい?」
http://twitter.com/#!/LulzSec/status/75489095371079680 [twitter.com]
Hey @Sony, you know we're making off with a bunch of your internal stuff right now and you haven't even noticed? Slow and steady, guys.
「泣き続けてください、ソニーファンボーイ。 あなたの涙は海をつくります。その哀れな泣き声は我々を優雅に運ぶ風を引き起こします。」
http://twitter.com/#!/LulzSec/status/75870098132443137 [twitter.com]
Keep on crying, Sony fanboys. Your tears create the sea and your whining creates the wind that we so gracefully use to traverse onward.
手法は例によって原始的なSQLインジェクションだとか。
そして自らのサイトに、抜き取ったというデータのうち一部を公開。
http://lulzsecurity.com/releases/ [lulzsecurity.com]
-----------------------------------------------------------
で、ソニー株式会社広報センターとやらが情報流出確認前にこんなことを言ってました。
http://internet.watch.impress.co.jp/docs/news/20110603_450518.html [impress.co.jp]
Sony PicturesのFacebookページでは、この件については調査中であり、新しい情報が入り次第報告するとし、同社のFacebookやTwitterをフォローしてほしいとコメントしている。
おまえちゃんと情報公開しろって直前に怒られたばっかりだろがー!
Re: (スコア:0)
> 我々を優雅に運ぶ風を引き起こします。」
>http://twitter.com/#!/LulzSec/status/75870098132443137 [twitter.com]
>Keep on crying, Sony fanboys. Your tears create the sea and your whining creates the wind
>that we so gracefully use to traverse onward.
これが目的なのか。ソニーファンボーイを泣かせたかった? 意味がわからない。
Re:6月2日、同じ日の話 (スコア:1, 興味深い)
まず第一に彼らの目的としてソニーにつぶれてもらいたいんですよね。倒産・撤退・または抜本的な企業文化の変革あたりで目標達成でしょうから、そのために倒産の危機に追い込んでやらなければならないと。企業を危機に陥らせる方法は簡単です、その企業が売っている物が売れなくなればいい。
でもファン・信者・リピーターが居る限り固定需要で売れ続ける。嫌いな企業を頑固に買い支え続ける消費者なんぞは企業と同罪の敵なんです。不祥事でさっさと離れていくドライな消費者になってくださいと。
だからしがみつくファンボーイには泣いてもらいたい、こんな目に遭うならソニーから離れるほうがマシだと思うまで。盗られた個人情報で犯罪者にクレジットカードから引き落とされソニーにつぎ込む金を失ってくださいってことなんでしょう。そのくらいしないと引きはがせないから。
同グループ内のことなのに他人毎だと思ってるんだろうな (スコア:1, すばらしい洞察)
Re:同グループ内のことなのに他人毎だと思ってるんだろうな (スコア:1)
「おいおいPSNの連中は何やってんだwww」
と笑ってたんじゃないか、そんな邪推もしてしまいますね。
#一方、運用や開発チームのメンバーだけは「次は我が身」とガクブル状態だったりとか
Re: (スコア:0)
持ち出せる荷物を監視する。
すらやらない日本企業じゃセキュリティなんて無理。
セキュリティのガンは、50代後半から60代のおっさんです。
無駄に企業内で権力もってますから。
要は日本企業のセキュリティ意識は、所詮レベルは低いってこと。
sony先生の新作でました (スコア:1, 参考になる)
今度は欧州のソニーストアで
http://www.thehackernews.com/2011/06/sony-12th-time-hacked-database-of.html [thehackernews.com]
またSQLインジェクションだって
この作家先生、ネタかぶりすぎじゃない?
それともそういう作風なのかな
Re: (スコア:0)
アホだろ
立て続けにSonyが標的になるのって (スコア:0)
PS3の"その他OS起動"の機能を削除した事をハッカーが怒っているのでしょうか。
Re:立て続けにSonyが標的になるのって (スコア:3, 興味深い)
ここまでくると,「今Sonyを叩くとニュースバリューがある」という要素のほうが大きいと思います.
報道すればするほど模倣犯がやる気になるのでは.
# もちろん,5件も10件も続けば世間が飽きますが.
単なる「祭り状態」と言ってもいいかもしれません.
Re: (スコア:0)
既に10件以上起きてますよ。
流出だけでも7件、かな?
あとはXSSとかサーバに勝手にバーチャルホスト立てられたりを含めて12件とかそのくらいだったような
Re: (スコア:0)
関連会社をたたいても思い知らせることにはならないんじゃない?
ソニー関連企業のセキュリティが劣るのか、狙われているだけなのか? (スコア:0)
どっちだろう?
どっちもだった嫌だなw
「人並みに劣っている」? (スコア:1, 興味深い)
どっちもじゃないですかねぇ。
セキュリティはさすがに「人並みに劣っている」だけだと思いますが、集中的に狙われているので被害が多発しているのでしょう。
# たぶん、狙われたら同じような状態に陥るところは多々あると思われ。前の職場も酷かったし(汗
# でも普通ここまで目を付けられないですからねぇ。
# 有名人税ってことなんでしょうが、その割には備えが甘かったって印象はあります。
Re:「人並みに劣っている」? (スコア:1)
こちらのページの情報が本当なら、「人並み」程度じゃなく
かなり劣っていると思えます。
ソニーが抱えていた脆弱性
http://ameblo.jp/seek202/entry-10895087134.html [ameblo.jp]
--------------------
/* SHADOWFIRE */
Re: (スコア:0)
Re: (スコア:0)
仮にそういう穴だらけのサイトがあって、危険だから即刻停止して改修するように
現場の人が上にかけあっても、
「わしには技術のことは良く分からん。なんかわからんけど、来月の会議の議題に
取り上げるよう上に申請するから、とりあえず現状維持。」
みたいな間違った指示を出すような、技術力も判断力も行動力も皆無な
経営患部がいたりするだけじゃないの?
#そんな時には、来月まで待ってられないってのにね。
こういう場合は現場判断ででもサービス停止するのが正しいのだが、
上の人に危機感がないと、逆恨みされるからねえ。
Re: (スコア:0)
それを「正しい」と言ってしまうと、セキュリティ問題が起きた責任は、サービス停止という「正しい行動」を選択しなかった現場にあることになりますよ。
Re: (スコア:0)
巫女SEがうんたらかんたら。
簡単にヤれる相手 (スコア:1)
「最も原始的で、ありふれた脆弱性を有している」 [jiji.com]ということですから、
かなりセキュリティ面で劣っているのでしょう。
こちらの情報 [ameblo.jp]によると、かなり古いバージョンのソフト使ってたようだし。
#OpenSSH 4.4って本当に???いくらなんでも…
ソニー系列全般にセキュリティ面で手を抜いてるんじゃないかという疑念が湧いてきます。
だからあっちもこっちも「既知の脆弱性」とやらで攻撃を食らうんでしょう。
「ソニー系列は簡単にヤれる相手」、クラッカー集団にはそういうふうに思われてるような気がします。
--------------------
/* SHADOWFIRE */
Re: (スコア:0)
クラッカー集団「マジ既知」
Re: (スコア:0)
単純に「比較的」セキュリティ強度を必要としないところばかり被害を受けているように見える.
フェリカの暗号解読、ソニー銀行、社員系ネットワークとかは今のとこ大丈夫だっし
Re: (スコア:0)
> #OpenSSH 4.4って本当に???いくらなんでも…
手元のcentos 5.6に入ってるのはopenssh 4.3ですな。バグが出るたびにバージョン番号をあげるという発想は、まともな管理者にはないです(だってバージョンあがってオプションの体系とか変わっちゃったら困るでしょ)バックポートパッチ当てた同じバージョンのソフトで入れ替えるのが普通で、アップデートかければ自然にそうなります。
だからopenssh 4.4が動いてるとか、apacheのバージョンが古いとかは当たり前なんだけど、パッチがあたってなければそりゃだめですな。もっとも、この自称アノニマスの構成員が語る内容ってのがどこまで信用できるのか、ちょっと疑わしい気もするんだが(どうやってアノニマスだって確認したんだろう?)
Re: (スコア:0)
ハッカーの達人と言われるのが我々の目的ではないから暴露してしまうけど、
非常に単純なSQLインジェクション(今どき誰でも知ってる最も原始的かつ一般的な脆弱性)で
SonyPictures.comのコントロールを奪ったのさ。SQL文1回注入しただけで、全部アクセスできた。
こんな単純な攻撃に無防備な企業を何故みなさん、そこまで信用するの?
http://www.gizmodo.jp/2011/06/100_18.html [gizmodo.jp]
Re: (スコア:0)
秘密の暴露! まさか貴様がAnonymousか!
# 今ここに俺が通らなかったか?
Re: (スコア:0)
こんな単純な攻撃に無防備なお母さんを何故みなさん、そこまで信用するの?
ハッカー (スコア:0)
Webサイトとか、ツイッターのアカウントとか (スコア:0)
素で驚いてるんだけど、ここまでしても捕まらないものなのだろうか。
Re:Webサイトとか、ツイッターのアカウントとか (スコア:1)
日経コンピュータのこの記事↓だと、PlayStation Networkの件については
http://itpro.nikkeibp.co.jp/article/COLUMN/20110523/360559/ [nikkeibp.co.jp]
と専門家が推測してるので、こっちもそうだったじゃないのかな?
# わざわざ再起動して「侵入してまっせー」と知らせてもらってやっと分かったのかソニーw
Re: (スコア:0)
捜査機関がそこを起点にして辿り始めても大丈夫…
とか思ってるのかな、と不思議な気分になったもので。
(´Д`)y-~~ (スコア:0, 荒らし)
⊂( ^ω^)⊃ オメオメ
Re:閉口する気も分かるが (スコア:1, すばらしい洞察)
> クラッカー集団より先にセキュリティホールでもみつけてレポートした方がよっぽど建設的だ。
そんなことしたらソニーに訴えられちゃうじゃないですか。