Q&A - ソニーピクチャーズ大量情報漏洩事故まとめ@ウィキ

lQ&A

このページでは、情報漏洩事故の件に関するQ&Aをまとめています。
訂正・加筆は歓迎いたします。

Q.何が起こったの？

A.11月24日に、米国にあるソニーの子会社、ソニー・ピクチャーズにハッカーが攻撃を仕掛け、
システムダウンをさせたことが、事の発端。

ソニー・ピクチャーズがハッキングを受けて全システムがダウン、さらに脅迫も（Gigazine)

犯行グループは、ソニー・ピクチャーズから多数の重要機密ファイルを盗み出し、その中身を次々と公開しています。
以下の記事より、その内容が確認できます。

映画女優のパスポート写しなど、ハッキングを受けたソニー・ピクチャーズの機密ファイルが公開（Gigazine）

Q.情報漏洩事故って一般でもたまに聞くけど、そんなに深刻なことなの？

A.盗まれたファイルの重要度が、並の情報漏洩事故にあるまじき内容となっています。

現在判明しているものだと、

• ハリウッドスターの重要個人情報（社会保障番号、偽名、パスポートの写しなど）
• ソニー・ピクチャーズ従業員の、上記のような個人情報
• 未公開映画の映像や脚本
• 従業員の社内間メール
• 数々のパスワード、オンラインサービスの利用履歴

などなど…。
幾つかは後述しますが、かなりマズイ情報が漏れでています。

Q.「社会保障番号（前述）」って？

A.アメリカで、一人ひとりの個人に付けられた管理番号で、
アメリカ人に一生付いて回る、個人を特定できる番号のことです。
英語では、《Social Security Number》といい、《SSN》などとも略されます。
個人を証明する番号としては、もっとも効力が強いものであり、
クレジットカードを作る際にも、この番号が証明になるなど
個人になりすましをすることも可能なほどの重要情報です。
連邦政府の社会保障局が発行しています。
ちなみに、日本でも、社会保障番号に近いマイナンバー制度が、
2015年秋を目処に導入が予定されています。

Q.結局、どれくらいの情報が漏れたの？

A.ソニー・ピクチャーズが発表していないので、具体的な数値は不明ですが、犯行グループは100TBの情報を盗んだと言っています。

ソニー・ピクチャーズのハッキング、史上最悪規模に（GIZMODO)

1024GBが、1TBですから、とんでもない量です。
保存メディアとして一般的に出回っている片面1層DVD（4.7GB)の約21787枚分といえば、
凄さを少しは想像できるでしょうか。
正直、確認する方も、気が遠くなるような情報量かもしれません。

Q.悪いのはハッカーで、ソニー・ピクチャーズではないですよね。

A.確かに、情報を盗み出し公開することは犯罪であり、ソニー・ピクチャーズは「被害者」ではあります。
しかし、以前、同じソニー系列のゲームネットワーク事業、
《PSN》で世界最大規模の漏洩を起こした前科があるため、心証が非常にわるいです。

PlayStation Network個人情報流出事件（Wikipedia）

そもそも論として、大規模なネットワークサービスを行っている会社が、
ハッカーなどから攻撃されるのは、逃れられない運命と言えます。
ですので、ネットワーク事業サービスを行う企業はセキュリティに万全を期す必要があります。
有名なマイクロソフトは、米国防総省の次に、ハッカーからの攻撃に常に晒されているとも言われる企業ですが、
強固なセキュリティにより、大規模な情報漏洩を起こしたという話は聞きません。
その攻撃回数は、一秒間に数千回単位とも言われます。

セキュリティを施す企業と、何とかセキュリティを破ろうとするハッカーとの関係はイタチごっこのようなものであり、
あえて、セキュリティを破ったハッカーに報奨金を与え、
自社のセキュリティに囲い込みをするといった話も普通にあります。
大切な個人情報を扱う企業である以上、「守れませんでした」という話では済まないのです。
況してや、ソニーは前述のとおり前科持ちであるため、前回の漏洩事故は教訓になっていなかったのかと
誹りを受けても、仕方がない状況にあるのです。

Q.賠償額はどれくらいになりそうなの？

A.はっきり言って、誰にも分かりません。

まず、社会保障番号が数万人単位で漏れたという話が出ており、訴訟大国アメリカで
これだけの情報が漏れた事に対する賠償は、過去前例の無い、前代未聞の話だからです。
しかも、今回はハリウッドスターを丸裸にしてしまうような情報が漏れでてしまっています。
偽名などは、もしかすると通販サイトで実名で買うと差し障りがあるようなものを
偽名を使って買っている場合もあるわけです。
そんな情報が仮に漏れだしたとしたら、ハリウッドスターからの賠償額だけでも
とんでもない巨額を求められるでしょう。

他に考えられる賠償金などの内容としては…

• 社会保障番号を知られてしまったことによる、アフターケアに対する賠償。

国が一生涯個人を識別するための番号が不特定多数に知らされてしまったので、
国としては番号再発行などの措置を取る必要が出るかと思います。
もちろん、その手続には費用がかかる訳であり、
アメリカから何かしらの賠償金ないしは制裁金と言ったものが課せられる可能性があります。

• 社会保障番号漏洩によってもたらされた小売店などの被害額。

日本ではイメージしにくいですが、アメリカでは小売店で買い物をする時に
その場でクレジットカードを作成し、そのクレジットで割引を受けて買い物をし、
後日作成したカードを送ってもらうと言う方法が使えるとのこと。
→参照URL　アメリカでIdentity Theftの被害にあったときは

クレジットカードは住所・名前・生年月日・社会保障番号の情報があれば、作成が比較的容易に出来るということで
もし、今回漏れでた社会保障番号を使って作られたクレジットカードを悪用されてしまった場合
使われてしまった本人は、手続きをすることによって（とても煩雑ですが）被害を無くすことは出来ますが
買われてしまった店側は当然、買われた分の被害を受けることになります。
もし、悪用されたクレジットカードが今回の社会保障番号漏洩によってもたらされた被害とわかれば
その賠償額を、ソニー・ピクチャーズに求めるといった可能性はあり得る話です。

• 単純にソニーに対する信頼低下から来る利益減少。

賠償額とは違いますが、PSNの大規模漏洩をまるで教訓にしていないような杜撰な漏洩事故。
今後、ソニーのネットワークサービスに対する信頼低下による
サービス利用者減少による、収入減という可能性があります。
個人情報を簡単に漏洩する企業に、自分の貴重な情報を預ける人がどれだけ居るかという話です。

素人考えでも、これだけの影響が簡単に思いつくものであり
今回の件は、ソニーにとって大打撃になると思われます。