パスワードを忘れた? アカウント作成
332512 story
プライバシ

米Sony Picturesなど複数のサイトで100万人以上の個人情報流出か 67

ストーリー by headless
LulzSecのWebサイトは一部オフライン 部門より

cheez 曰く、

Lulz Security(LulzSec)と名乗るグループが、複数のソニー海外子会社のWebサイトに不正侵入し、顧客データなどを入手したことを6月2日(米国時間)に発表した (CNN.co.jpの記事CNET Japanの記事本家/.)。

LulzSecによると、米Sony Pictures Entertainment(SPE)のWebサイトから100万件以上の顧客データを入手したとのこと。他にも音楽クーポンや管理データなども入手したとのことで、同グループのWebサイトで一部を公開したほか、トレントファイルのリンクをツイッターに投稿している。また、ベルギーとオランダのSony BMGも標的になっており、従業員のパスワードやCDの発売日、バーコードデータなどを入手したとしている。

SPEは米国時間6月3日、不正侵入を確認したとのこと(プレスリリースasahi.comの記事)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Sam.Mem (42350) on 2011年06月04日 13時42分 (#1964594)
    ・情報をすぐに開示しない
    ・何度も同じ過ちを犯す
    ・事前に対策を練らない&とらない
    ・「しっかり対策してる」と、上層部の言葉だけはいつも自信たっぷり
    ・消費者(国民)のコトなど二の次
    ・日本の企業なのに、なんだかよその国の企業に思えてくる
    ・「自分らは被害者だ!」という認識を抱いている
    ・敵が多い
    ・一応これでも大企業
    ・世界に迷惑をかけている
    • by Anonymous Coward on 2011年06月04日 18時44分 (#1964702)

      数えて10個あったときのがっかりさといったら…

      親コメント
    • by Anonymous Coward on 2011年06月04日 13時54分 (#1964598)

      >・情報をすぐに開示しない
      >・何度も同じ過ちを犯す
      >・事前に対策を練らない&とらない
      >・「しっかり対策してる」と、上層部の言葉だけはいつも自信たっぷり
      >・消費者(国民)のコトなど二の次

      同感だけど、これって単なる日本の大企業の伝統じゃ無いの。

      親コメント
    • by Anonymous Coward
      備えが足りない、事後の対応が宜しくない点は共通するとして、かたや自然災害、かたや犯罪被害。 悪意を持って攻撃を仕掛けている側がいる、という点を差し置いて被害側だけ叩く心理が知りたい。 ぶっちゃけ攻撃者に共感してるの?
      • 攻撃側が悪いのは当然です。
        けれどいくら言ったって無くならないのも当然です。
        まるで自然災害に「ふざけんな!」と言ってるのと同じじゃないかと。
        だったらそれに対しての備えや対策や管理をしっかりするべきでしょう。って思うんです。

        ・ハッキングなどは予測できた。なのに事前対策を怠っていた
        ・グループ内でクラックされまくってるのに、まだセキュリティの穴を放置していた
        ・被害があったなら、サービスを利用しているユーザーに速やかに通知すべきだった
        ・日本においては、どこから利用停止要請が出ていてサービス再開が長引いているのかすらSonyは明示していない
        ・ユーザーのことより、訴訟での請求額が上がらないようあくまでも被害者の姿勢を貫いている

        誰が悪いのかじゃないです。
        なぜSonyが叩かれるか、だと思います。そしてその理由が見事に東電のと重なってるんです。

        #攻撃者にシンパシーを感じてるのかという質問は興味深いですね。
        #時間が経つにつれてソニーの情けない姿が浮き彫りになると、あるいは「ハッカーよくやった」と思っても仕方ないかもしれません。
        親コメント
        • by Anonymous Coward
          > なぜSonyが叩かれるか、だと思います。そしてその理由が見事に東電のと重なってるんです。

          やっぱり、別個の事件だと思うけどな。
        • by Anonymous Coward
          >・ハッキングなどは予測できた。なのに事前対策を怠っていた
          >・グループ内でクラックされまくってるのに、まだセキュリティの穴を放置していた

          他のコメントにもあるように他人事のように考えていたというのもあるのだろうけど
          SONYみたいに大きい企業になってしまうと変えようと思ってもすぐには変えられない体質ってのもあるんじゃないかな。
          とくに現場の人間が危機感を抱いても責任をおう管理者レベルでことなかれにはしって何もしないというのは
          パッチを当てることについてはよくあることです。

          たとえば、パッチを当てあるとシステムがとまるかもしれないなんてのは、よくある
      • >備えが足りない、事後の対応が宜しくない点は共通するとして、かたや自然災害、かたや犯罪被害。悪意を持って攻撃を仕掛けている側がいる、という点を差し置いて被害側だけ叩く心理が知りたい。ぶっちゃけ攻撃者に共感してるの?

        スラッシュドットの個人情報流出に対してのコメントはいつもこんな感じですよ。むしろソニーだから擁護意見もポチポチ見られるのかな、という気がします。

        とはいえ、個人情報を預かるなら性悪説で管理せよというのは世間の常識にした方が良いと思いますが。

        親コメント
      • by Anonymous Coward
        あれ?原発事故は、
        「神様が悪意を持って仕掛けた」
        って、与謝野さんが言ってたよ。
        神様は、たたけないか・・・・
      • by Anonymous Coward
        攻撃側が悪いのなんて言うまでもなく、今更語るほどのこともないわけです。

        それに対し、攻撃を受けた側は普通なら被害者であるはずなのに、
        それだけではないとなれば話題性が生まれ、語られる対象となります。

        個人情報取扱事業者には顧客からお預かりしている個人情報を適切に保護する義務がありますから、
        自分たちが攻撃の対象となっていることを知っていれば適切な対策を行うのが当然であり、
        もし仮に十分な対策をとらずに流出を招いたのであれば個人情報取扱事業者としてあるまじき行動ですから
        そこは大いに批判されてしかるべきでしょうし、十分な対策をとられていたかどうかについては
        興味深い議論の題材になりえます。
      • by Anonymous Coward

        1)自然災害
        散々起こる起こるとはいわれ続けていた。
        日本は元々地震大国である。
        備えが足りなかったが「していなかったわけではない」

        2)犯罪被害
        ハッキングされる危険性があることは大企業であればあるほどわかっていたはず。
        インターネットを安全だと思っている人間なんて一握り。
        備えが足りない所か「脆弱性」があることを知っていたという旨の発言がある。
        動作しているサービスに対して侵入したのではなく「SQLインジェクション」による流出である。
        SQLインジェクションは故意に起さずとも知らずに起してしまう可能性はある。

        よって、私はSonyの方が東電よりも悪いと考える。
        その「

        • by Anonymous Coward
          最終的な被害者は個人情報を公開されたユーザーだ、ということですね。
          情報を預っていた企業にも責任があるというのはそうですね。それは現在進行形で責められている点でしょう。

          >> まともにセキュリティ対策をしていれば防げたものを流出させてしまったのは誰ですか?

          もちろん攻撃者ですよね。;p
          通り一辺倒のセキュリティを施せば防げたのかも知れませんし、攻撃者の技術と執念次第で最終的に防げた事案なのかどうか、それは私には分かりません。
          • by Anonymous Coward

            >> まともにセキュリティ対策をしていれば防げたものを流出させてしまったのは誰ですか?
            違います、「攻撃者」が行ったのは「取得」であって「流出」させたのはSonyです。

            SQLインジェクションってタダ単に検索ワード何かを適当に設定してやると
            その項目があったらでてきちゃうとか
            SQL文を検索に対して渡してやると検索してしまうとかそういうレベルの攻撃です。
            その程度の「対策」も施していない時点で可笑しいんです。

            だから、攻撃者を叩く云々以前に情けないSonyが叩かれて当たり前です。
            攻撃者が悪いのなんて分かりきっていることですが
            鍵もかけずに置いておいた挙句に勝手にもって行かれたから騒いでいるのがSonyです。
            大事な物は仕舞っておきなさいって言われたでしょう?
            貴重品は身に着けなさいとか言われたでしょう?
            その程度のことも出来ないのがSonyだったんですよ。

            • by Anonymous Coward
              > 攻撃者が悪いのなんて分かりきっていることですが

              ↑ここを省く人が多いから、ちょっと離れたところから見てると違和感があるんだ。
              上の方のコメントにも出てたけど、攻撃者に感情移入してるように見える人もいる。
              いちいち「攻撃者が悪い」と言えばいいかというと、そういうもんでもないだろうし、
              なんでだろ。



              端から見てるとそう見えるってだけだけどね。
            • by Anonymous Coward

              違います、「攻撃者」が行ったのは「取得」であって「流出」させたのはSonyです。

              同意できません。攻撃者が行ったのは取得と流出です。窃盗行為に対する非難を「差し置いて」鍵がかかっていた手落ちを責めることで、窃盗行為そのものの罪を矮小化することに強く意義を申し立てます。

              ここで『攻撃者』とくくって断るぐらい、これが攻撃でもなんでもないと主張されたいのでしょうか。

              取得できることを証明するために公開したから正義だ、罪がない、とでも仰りたい?

              • by Anonymous Coward

                不用心な銀行が銀行強盗に入られて、いやぁ、災難でしたねぇで済ませられますか?。馬鹿も休み休みに
                言ってください。誰も犯罪者が正義だなんて言ってない。この場合、盗った方も盗られる方も同時に責め
                られるべきだというだけの事です。他人の貴重品(個人情報)を預かるという事は それだけの重責が
                有るのですよ。それを、のらりくらりと言い逃れをしているから余計に叩かれているだけの事です。

                ソニーに罪があれば、犯罪者には罪が無いと言った事になるなんて、一体どんな思考回路なんでしょうか?。

  • ということですか。
    パナソニックが映画会社を買ったものの経営が出来なくて
    手放したことがありました。
    会社には事業ドメインがあって、畑違いのことをやるなら
    事業ドメインから考え直さないと無理じゃないかな。
    畑違いのことができる異能の人材を採用することができないし、
    育てるノウハウも持ち合わせていないですから。

    SONYは遺伝子レベルで取り替えないとダメですね。
  • ソニー情報流出 米下院で公聴会
    http://www.yomiuri.co.jp/net/news/20110603-OYT8T00260.htm [yomiuri.co.jp]

    今回の問題で、ソニー側から米議会の公聴会に証人が出るのは初めて。5月4日の公聴会では、プレイステーションの公式ブログを通じて情報流出を発表したことについて、「顧客への通知を怠り、情報漏れの事実を探す負担を顧客に負わせた」などの批判が出た。

    ソニー側はこれに対し、情報を公開した公式ブログについて、「影響力を持つブログとして、上位20位に格付けされており、米ホワイトハウスのブログに次ぐ位置にある」と主張、ブログによる情報公開は、「直接かつ迅速に顧客と意思疎通するため、最善な手法の一つだ」と反論している。

    -----------------------------------------------------------

    実は今回は、数日前に侵入予告および侵入状況報告がありました。

    Hacking Group: “It’s The Beginning Of The End For Sony”, Promises More Hacks Soon
    http://gamingbolt.com/hacking-group-its-the-beginning-of-the-end-for-s... [gamingbolt.com]
    LulzSec, which had previouslyhacked Sony BMG’s Japanese website (according to Forbes) has promised more attacks against Sony and claimed that this is the beginning of the end for Sony.

    「やあやあソニーさん、あんたさんは俺達がたった今ハック中なことに気づいているかい?」
    http://twitter.com/#!/LulzSec/status/75489095371079680 [twitter.com]
    Hey @Sony, you know we're making off with a bunch of your internal stuff right now and you haven't even noticed? Slow and steady, guys.

    「泣き続けてください、ソニーファンボーイ。 あなたの涙は海をつくります。その哀れな泣き声は我々を優雅に運ぶ風を引き起こします。」
    http://twitter.com/#!/LulzSec/status/75870098132443137 [twitter.com]
    Keep on crying, Sony fanboys. Your tears create the sea and your whining creates the wind that we so gracefully use to traverse onward.

    手法は例によって原始的なSQLインジェクションだとか。
    そして自らのサイトに、抜き取ったというデータのうち一部を公開。
    http://lulzsecurity.com/releases/ [lulzsecurity.com]

    -----------------------------------------------------------

    で、ソニー株式会社広報センターとやらが情報流出確認前にこんなことを言ってました。

    http://internet.watch.impress.co.jp/docs/news/20110603_450518.html [impress.co.jp]
    Sony PicturesのFacebookページでは、この件については調査中であり、新しい情報が入り次第報告するとし、同社のFacebookやTwitterをフォローしてほしいとコメントしている。

    おまえちゃんと情報公開しろって直前に怒られたばっかりだろがー!

    • by Anonymous Coward
      >「泣き続けてください、ソニーファンボーイ。 あなたの涙は海をつくります。その哀れな泣き声は
      > 我々を優雅に運ぶ風を引き起こします。」
      >http://twitter.com/#!/LulzSec/status/75870098132443137 [twitter.com]
      >Keep on crying, Sony fanboys. Your tears create the sea and your whining creates the wind
      >that we so gracefully use to traverse onward.

      これが目的なのか。ソニーファンボーイを泣かせたかった? 意味がわからない。
      • by Anonymous Coward on 2011年06月05日 6時32分 (#1964883)

        まず第一に彼らの目的としてソニーにつぶれてもらいたいんですよね。倒産・撤退・または抜本的な企業文化の変革あたりで目標達成でしょうから、そのために倒産の危機に追い込んでやらなければならないと。企業を危機に陥らせる方法は簡単です、その企業が売っている物が売れなくなればいい。

        でもファン・信者・リピーターが居る限り固定需要で売れ続ける。嫌いな企業を頑固に買い支え続ける消費者なんぞは企業と同罪の敵なんです。不祥事でさっさと離れていくドライな消費者になってくださいと。
        だからしがみつくファンボーイには泣いてもらいたい、こんな目に遭うならソニーから離れるほうがマシだと思うまで。盗られた個人情報で犯罪者にクレジットカードから引き落とされソニーにつぎ込む金を失ってくださいってことなんでしょう。そのくらいしないと引きはがせないから。

        親コメント
  • by Anonymous Coward on 2011年06月04日 13時31分 (#1964591)
    危機感が足りなさすぎる。
    • 今回の件が発覚するまでは、SPEの社員ですら

      「おいおいPSNの連中は何やってんだwww」

      と笑ってたんじゃないか、そんな邪推もしてしまいますね。

      #一方、運用や開発チームのメンバーだけは「次は我が身」とガクブル状態だったりとか
      親コメント
    • by Anonymous Coward
      日本企業全般に言えることだけど、欧米みたいに、退職時はガードマンが横に張り付いて、
      持ち出せる荷物を監視する。

      すらやらない日本企業じゃセキュリティなんて無理。
      セキュリティのガンは、50代後半から60代のおっさんです。
      無駄に企業内で権力もってますから。

      要は日本企業のセキュリティ意識は、所詮レベルは低いってこと。
  • by Anonymous Coward on 2011年06月04日 22時36分 (#1964788)

    今度は欧州のソニーストアで
    http://www.thehackernews.com/2011/06/sony-12th-time-hacked-database-of.html [thehackernews.com]
    またSQLインジェクションだって

    この作家先生、ネタかぶりすぎじゃない?
    それともそういう作風なのかな

    • by Anonymous Coward
      URLのパラメータ変数(しかも"id")にSQL入れてそのまま通るとかwwどんだけレベル低いのソニーwww
      アホだろ
  • by Anonymous Coward on 2011年06月04日 13時08分 (#1964584)

    PS3の"その他OS起動"の機能を削除した事をハッカーが怒っているのでしょうか。

    • ここまでくると,「今Sonyを叩くとニュースバリューがある」という要素のほうが大きいと思います.
      報道すればするほど模倣犯がやる気になるのでは.
      # もちろん,5件も10件も続けば世間が飽きますが.

      単なる「祭り状態」と言ってもいいかもしれません.

      親コメント
      • by Anonymous Coward

        既に10件以上起きてますよ。

        流出だけでも7件、かな?
        あとはXSSとかサーバに勝手にバーチャルホスト立てられたりを含めて12件とかそのくらいだったような

    • by Anonymous Coward

      関連会社をたたいても思い知らせることにはならないんじゃない?

  • どっちだろう?
    どっちもだった嫌だなw

    • by Anonymous Coward on 2011年06月04日 13時56分 (#1964599)

      どっちもじゃないですかねぇ。
      セキュリティはさすがに「人並みに劣っている」だけだと思いますが、集中的に狙われているので被害が多発しているのでしょう。

      # たぶん、狙われたら同じような状態に陥るところは多々あると思われ。前の職場も酷かったし(汗
      # でも普通ここまで目を付けられないですからねぇ。
      # 有名人税ってことなんでしょうが、その割には備えが甘かったって印象はあります。

      親コメント
      • こちらのページの情報が本当なら、「人並み」程度じゃなく
        かなり劣っていると思えます。

        ソニーが抱えていた脆弱性
        http://ameblo.jp/seek202/entry-10895087134.html [ameblo.jp]

        --
        --------------------
        /* SHADOWFIRE */
        親コメント
        • by Anonymous Coward
          その程度の所はゴロゴロしてるって事じゃないの。
        • by Anonymous Coward

          仮にそういう穴だらけのサイトがあって、危険だから即刻停止して改修するように
          現場の人が上にかけあっても、
          「わしには技術のことは良く分からん。なんかわからんけど、来月の会議の議題に
          取り上げるよう上に申請するから、とりあえず現状維持。」
          みたいな間違った指示を出すような、技術力も判断力も行動力も皆無な
          経営患部がいたりするだけじゃないの?
          #そんな時には、来月まで待ってられないってのにね。

          こういう場合は現場判断ででもサービス停止するのが正しいのだが、
          上の人に危機感がないと、逆恨みされるからねえ。

          • by Anonymous Coward

            こういう場合は現場判断ででもサービス停止するのが正しいのだが、

            それを「正しい」と言ってしまうと、セキュリティ問題が起きた責任は、サービス停止という「正しい行動」を選択しなかった現場にあることになりますよ。

            • by Anonymous Coward
              こないだありませんでしたっけ、
              巫女SEがうんたらかんたら。
    • 「最も原始的で、ありふれた脆弱性を有している」 [jiji.com]ということですから、
      かなりセキュリティ面で劣っているのでしょう。
      こちらの情報 [ameblo.jp]によると、かなり古いバージョンのソフト使ってたようだし。
      #OpenSSH 4.4って本当に???いくらなんでも…

      ソニー系列全般にセキュリティ面で手を抜いてるんじゃないかという疑念が湧いてきます。
      だからあっちもこっちも「既知の脆弱性」とやらで攻撃を食らうんでしょう。

      「ソニー系列は簡単にヤれる相手」、クラッカー集団にはそういうふうに思われてるような気がします。

      --
      --------------------
      /* SHADOWFIRE */
      親コメント
      • by Anonymous Coward

        クラッカー集団「マジ既知」

      • by Anonymous Coward

        単純に「比較的」セキュリティ強度を必要としないところばかり被害を受けているように見える.
        フェリカの暗号解読、ソニー銀行、社員系ネットワークとかは今のとこ大丈夫だっし

      • by Anonymous Coward

        > #OpenSSH 4.4って本当に???いくらなんでも…

        手元のcentos 5.6に入ってるのはopenssh 4.3ですな。バグが出るたびにバージョン番号をあげるという発想は、まともな管理者にはないです(だってバージョンあがってオプションの体系とか変わっちゃったら困るでしょ)バックポートパッチ当てた同じバージョンのソフトで入れ替えるのが普通で、アップデートかければ自然にそうなります。

        だからopenssh 4.4が動いてるとか、apacheのバージョンが古いとかは当たり前なんだけど、パッチがあたってなければそりゃだめですな。もっとも、この自称アノニマスの構成員が語る内容ってのがどこまで信用できるのか、ちょっと疑わしい気もするんだが(どうやってアノニマスだって確認したんだろう?)

    • by Anonymous Coward

      ハッカーの達人と言われるのが我々の目的ではないから暴露してしまうけど、
      非常に単純なSQLインジェクション(今どき誰でも知ってる最も原始的かつ一般的な脆弱性)で
      SonyPictures.comのコントロールを奪ったのさ。SQL文1回注入しただけで、全部アクセスできた。
      こんな単純な攻撃に無防備な企業を何故みなさん、そこまで信用するの?

      http://www.gizmodo.jp/2011/06/100_18.html [gizmodo.jp]

      • by Anonymous Coward

        秘密の暴露! まさか貴様がAnonymousか!
        # 今ここに俺が通らなかったか?

      • by Anonymous Coward
        オレオレ、って言うだけでこっちの言うこと全部信じてくれた。
        こんな単純な攻撃に無防備なお母さんを何故みなさん、そこまで信用するの?
  • by Anonymous Coward on 2011年06月04日 14時11分 (#1964607)
    タレコミ文にハッカーという言葉を含ませないようにするのに必死ですね。
  • by Anonymous Coward on 2011年06月04日 16時51分 (#1964650)
    > 同グループのWebサイトで一部を公開したほか、トレントファイルのリンクをツイッターに投稿している。

     素で驚いてるんだけど、ここまでしても捕まらないものなのだろうか。
  • (´Д`)y-~~ (スコア:0, 荒らし)

    by neoryokucha (30066) on 2011年06月04日 21時30分 (#1964759)

    ⊂( ^ω^)⊃ オメオメ

typodupeerror

人生unstable -- あるハッカー

読み込み中...