PSN の情報漏えいと、メールアドレス重要かも、という話

ソニーPlayStation Network でアカウント情報が漏洩した話。僕も PSP でアカウントを 1 つ作っていたので、このサイトと同内容のメールを受け取った。

PlayStation®Network/Qriocity™ をご利用の皆様へのお詫びとお願い
http://cdn.jp.playstation.com/msg/sp_20110427_psn.html

対応方法はどうなるか

今回のように ID もパスワードも漏れている場合、また「安全」にログイン認証を行えるようにするためにはどうすればいいんだろうか。考えられる案はいくつかありそう。

内容
A 全員のパスワードをリセットし、新しい仮パスワードをメール (または郵便) で送付する
A' 上記の A 案に加えて、クレジットカード情報をリセットする
B 全員のアカウントをロックし、別の手段で本人確認を行った後、パスワード変更の手続きを実施する
B' 上記の B 案に加えて、クレジットカード情報をリセットする
C ユーザに対し、各自でパスワードを変更してもらう
C' 上記の C 案に加えて、クレジットカード情報をリセットする
X ID とパスワードでの認証は諦めて、より安全な別の認証方法を導入する

なお、今回の場合、ID・パスワード以外にもたくさん漏洩してるんだけど、ここでは ID とパスワードだけ考えている。他にもいろいろありえそうだけど、僕の頭ではこれくらいしか挙げられなかった。
以下では、各案を順に検討した後、PSN の場合にあてはめて考えてみる。

A 案

アカウント情報が漏洩した場合に、割とよく見る手法。僕自身が体験した例で言うと、2009 年にオンラインゲーム会社「ゲームオン」が不正アクセスを受けた際、新しい仮パスワードを記したメールを受け取ったことがある。当時僕はもう同社のゲームをプレイしていなかったけど、そういう休眠ユーザも含めた全アカウントに対して、一括でパスワードリセットを行ってしまうわけだ。

4Gamer.net - 「RED STONE」「クロノス」で不正アクセスの可能性。データの安全を確保するため全プレイヤーのパスワードを変更 (当時のニュース記事)
http://www.4gamer.net/games/018/G001877/20090601038/

A' 案

A 案の内容に加えて、ID やパスワードを不正に入手した人物が、他人のアカウントでログインして勝手に買い物をしてしまうのを避ける場合。パスワードリセットすれば、漏洩した情報で即座に不正ログインすることはできないのだから、あんまり意味ないかもしれない。

B 案

一旦アカウントをロックしてログインできないようにし、何らかの手段で「確かに本人だ」と確認する。これ、僕は自分では思いつかなかったんだけど、やはりオンラインゲームのサービスである「ハンゲーム」でアカウントの不正利用が起こったときに、実施されたことがあるようだ。

ハンゲーム - 【お願い】パスワード変更について (当時のアナウンス)
http://customer.hangame.co.jp/notice/detail.nhn?direct=1&bbsid=543&docid=1276363

本人確認に手間がかかるのが難点だけど、確認が十分に行えるのであれば、悪用される可能性を最小限に抑えるという意味では効果がありそう。

B' 案

B 案の内容に加えて、クレジットカード情報をリセット。これも A' 案同様あんまり意味ないかな。

C 案

サービス提供者側ではリセットを行わない。ユーザが自分でパスワードを変更するまでアカウントは野ざらしのままになるので、A や B の案に比べれば劣るはず。

C' 案

C 案の内容に加えて、クレジットカード情報をリセット。これは、A' や B' と違って、たぶんやる意味がある。ユーザがパスワード変更するまでの間に、勝手に買い物されるのを防ぐという効果があるからだ。

X 案

ID とパスワードが漏洩した場合、パスワードを変更しても ID はバレたままになる。同じ事態を二度引き起こさないために、より安全な認証手段に移行してしまう、というのも考えられる。
ただし、その新しい認証手段を、既存の各ユーザに配布しなければならない。しかし肝心の ID とパスワードが漏洩しているので、場合によってはかなり難しそう。
そしてもちろん、こういう大改築を短時間で導入するのは難しい。

PSN の場合

僕の都合だけで言えば、ソニーが A 案を採ってくれると最も安心だ。僕のアカウントの ID・パスワードを入手した人がいても、メールを読むことはできない (と言い切ってしまうと語弊があるけど) ので、まぁそこそこ安全にパスワードを再設定できるだろうと思う。
が、実際にソニーがアナウンスしているのは

PlayStation®NetworkおよびQriocity™のサービスが復旧した際は、お客様がご利用のパスワードを変更されることを強く推奨いたします。

PlayStation®Network/Qriocity™ をご利用の皆様へのお詫びとお願い

つまり C 案であって、ユーザ本人がパスワード変更を行う前に、悪意のある第三者によってアカウントが乗っ取られる可能性がある。たぶんこれは重要なところで、PSN に固有の事情を示している。
それは、ID とパスワード、さらに加えて氏名や住所も根こそぎ漏洩してしまった今、本人確認に使える情報がひとつも残っていない、ということだ。一見、メールアドレスが最後の味方になってくれそうに思えるが、以前の記事 (id:sardine:20101215) で書いたように、他人のメールアドレスを入力した場合であっても PSN アカウントは作れてしまっていた。つまり、登録されているアドレス宛にメールを送っても、本人に届くかどうかはまったくわからない。そんなことをした本人が悪いのだ、と考えることもできなくはないけど、メールアドレスの検証をサボっておきながら「新しい仮パスワードをメールで送信したよ♪」なんてやったら、反発を食らうことは間違いない。最悪、そのメールを受け取った赤の他人が興味本位で不正ログイン、なんてかたちで二次被害を拡大させることになりかねない。よって、A 案は実行できない。
かといって、B 案の一旦ロックするという方法も選べない。最大で 7700 万アカウントの情報が漏洩したらしいから、これにいちいち人手で本人確認をするのは無理があるし、繰り返しになるけど、本人確認に使えるような情報は今回ほぼすべて漏洩してしまっている。
同じ理由で X 案も不可。どんな素晴らしい認証方法を導入しても、正しいユーザにそれを届けることができない。
そういうわけで、ソニーとしてはもはや「お手上げ」の状態なので、不正ログインされない、もしくは、実際に不正ログインされるのが少数に留まるよう祈りながら、ユーザにパスワード変更を依頼するという、もっともひどい C 案しか選択肢がない。
……というふうにソニーは考えたんだろう。推測だけど。
個人的には、C' 案、つまり、せめてクレジットカードの情報だけでも一括リセットしておいてくれればいいのにと思うけど。今のところソニーからのお知らせにはそういう記述はない。もしかしたら、クレジットカードの情報も漏洩している可能性が高いから、PSN だけリセットしても意味ないッス、とか?

まとめ

PSN では登録されたメールアドレスが正しいかのチェックをしていなかったので、もはやユーザが確実に自分のアカウントを取り戻す方法はなくなった。まじめにメールアドレスを登録していたユーザは「パスワードリセットしてくれればいいのに」と思うかもしれないが、後の祭りである。
サービスが再開されたらすぐに、おそらくは混雑しているであろう間隙を縫って、パスワードの変更に挑むしかない。
もしも自分がシステムを作る側で、アカウント管理の機能が必要な場合は、「預かる情報を最低限にする」といった基本的な対策に加え、ユーザに正しいメールアドレスを登録してもらう (そして可能な限り最新の情報に更新してもらえるような仕組みを入れておく) ことで、万が一の場合の対処がやりやすくなるかもしれない。

03:30追記

ソニーのアナウンスでは、「秘密の質問」の回答も漏洩している可能性がある、としている。なのに、「サービスが復旧した際は、お客様がご利用のパスワードを変更されることを強く推奨」としか書かれていない。
パスワード変更とあわせて「秘密の質問」も変更しないとまずいよね。アナウンスしなくていいのかな?