ソニーグループが展開するゲームなどのインターネットサービスにハッカーが不正侵入し、日米欧などで延べ1億人以上の顧客の個人情報が流出した可能性が高まっている。ソニーは「既知の脆弱性」を突かれたと説明するが、それは具体的に何を意味するのか。また、一部メンバーの攻撃の痕跡が発見された国際ハッカー集団「アノニマス」は、本当にこの事件の黒幕なのか。ハッカー、ギャング、国家まで巻き込んだサイバー犯罪の恐ろしさを描き、欧米で話題を呼んだノンフィクション「Fatal System Error」の著者で、現在フィナンシャルタイムズ紙のセキュリティ専門記者としてこの事件の取材にあたっているジョセフ・メン氏に話を聞いた。(聞き手/ジャーナリスト 瀧口範子)

――今回の事件をどう見ているか。

ジョセフ・メン(Joseph Menn)
サイバーセキュリティ関連の著作でピュリッツァー賞候補にも名前があがる米国を代表するジャーナリストのひとり。ロサンゼルスタイムズ等を経て、現在はフィナンシャルタイムズに所属。著書に「All The Rave」(邦題『ナップスター狂騒曲』ソフトバンククリエイティブ刊)「Fatal System Error」(仮邦題『サイバークライム』講談社より今夏発売予定)等がある。後者は、サイバー犯罪組織の内実に迫ったノンフィクションで、欧米で大きな話題を呼んだ。ハーバード・カッレジ卒業。すでにさまざまなジャーナリズム関連の賞を受けている。

 クレジットカードやデビットカード情報がシステムから直接盗まれた被害例では、過去に1000万件レベルのものもある(一方、ソニーの今回のケースでのカード情報自体の流出は現時点で数万件程度と見られている)。その意味では、まだ史上最悪の流出事件にはなっていない。ただし、メールアドレスやパスワード情報を基点としてさらに被害が広まる可能性はある。この点は軽視できない。

 すぐに連想するのはスパムだろうが、統計によれば、同じパスワードを複数のサービスに利用しているオンラインユーザーは73%にも上る。したがって、たとえば、私があなたのGメールアドレスとパスワードを組み合わせてメール履歴のアクセスに成功し、メールの内容をつぶさに調べれば、銀行口座や他のショッピングサイトなどのアクセス情報を突き止めることもできるだろう。

 あるいは、そこから友達のメールアドレスを多数入手し、あなたになりすましてメールを送り、「キーロガー」(キーボードの入力信号をモニターするソフトウェア)のようなソフトを相手のコンピュータに埋め込めば、そこからも何らかの金銭関連のアクセス情報を盗み出すことも可能だ。いろいろな被害が派生する可能性が考えられる。

――今回ソニーは「既知の脆弱性」を突かれたと発表している。これは何を意味するのか。

 ソフトウェアの脆弱性が分かっていれば、普通はすぐにパッチ(セキュリティホールが発覚したときに配布される修正プログラム)をあてる。パッチで修復できない脆弱性は非常に稀であり、これがあれば被害が出ることはまずなかっただろう。「既知」であるのに被害が出たということは、パッチをあてるのが遅れたか、あるいはパッチのテストが十分でなかったかのいずれかだ。

 パッチが遅れたのは、担当者が何か他のことで忙しかったからかもしれない。テストが不十分な場合は、他のシステムにも穴のあることが分からずじまいだったということになる。いずれにしても、ソニーの責任は大きい。