『PSN「感謝とおわびのパッケージ」』のクチコミ掲示板

[ポテトグラタン]

PSNの障害を受けたユーザーに提供される「感謝とおわびのパッケージ」の全てのコンテンツとサービス内容が決定したそうです。
http://www.jp.playstation.com/psn/kansha-to-owabi.html

書込番号：13111679

[Pau00]

所持アカウントが多い人ほど得をする不公平なサービス。
感謝の気持ち以前にしなければいけないことあると思うけど。未だに流出の補償に関しての決定事項がない。

書込番号：13111998

[ポテトグラタン]

私もゲームソフトからビデオコンテンツまでほとんど恩恵をうけないんですよね。
もっと違う形のほうが良かったでしょうか。確かにこれでは不公平に感じる方もいるとおもいます。欲しいモノが無いという方は当然いらっしゃるわけですし。
PSプラスもスタートから加入していますが、持っていないソフトが配信されたのは確か1本ぐらいしかなかった気がします。
今回の対応もPSプラスもソフトコンテンツを買ってない人の方が得をするという訳のわからないサービス（普通は逆なんですけどね）。
熱心なユーザーをサポートする事は考えていないのでしょう。自社コンテンツで出費を最小限に抑えたいのはわかりますが、これでいいのでしょうか。
今回は障害に対する「おわび」であって、流出問題はまた別に対応するのであろうと思ってはいますが。

でも、正直なところあまり期待していません。あの一連の対応を見ていたわけですから。

書込番号：13112222

[ブラジリアン2]

Pau00さん　

> 感謝の気持ち以前にしなければいけないことあると思うけど。未だに流出の補償に関しての決定事項がない

気が早すぎます。マスコミに踊らされすぎです。
流出があったかどうか、まだ調査中ですよ。
FBIに遅いと文句言いますか。

それより私はシティーバンクの方が気になりますね。
http://www.nikkei.com/news/headline/article/g=96958A9C9381959FE2EBE2E0958DE2EBE2E4E0E2E3E39790E3E2E2E2

手口は公表されていませんが、狙われた箇所から判断してSOEとは明らかに手口が違います。しかし、PSNと同じ手口かもしれません。

ゼロデーやマイナスデーを狙ったものなら、自分達の持っているクレジットカードの会社や銀行口座も同じリスクを背負っているのですから心配です。

書込番号：13112595

[ブラジリアン2]

プラチニャ会員証とパーソナルスペースは良いですね。

ゲームソフトは、あまり良いのがありませんね。

書込番号：13112628

[Pau00]

流出を確認できたらこういう補償をするとでも発表すれば良いのではと思っているのです。

流出確認出来るまで日本では全面再開できないとなっているようなので再開は無理なのではないかな。確認てどうやるのかな？

書込番号：13112890

[kakukakushikashika]

>それより私はシティーバンクの方が気になりますね。

シティーバンク銀行ってSONY系列でしたっけ？
何故ここに書き込みを？
『流失したかもしれない』事件がある度にここに書き込みするつもりですか？
関係のない話を書き込むのは止めて下さいね。

書込番号：13115336

[あかゆり]

まぁ期待してなかったので、個人的には何とも思わないかなぁ。

提供するにしてもSCEのソフト
パッケージ品は無理

この２つは予想できたから、PS3のソフトは大型の人気ソフトでは、まずないって予想できた。PSPも、SCEで何かあったっけ？？？

まぁSONYも被害者だから。ただ脆弱だったことへのお詫び姿勢を見せたかったっていうデモンストレーションかなぁ。

ただ、もうちょっと、なんとかならんかったんかいな・・・

書込番号：13115509

[ゴキタイマー]

ソニー関連企業の流出ではPSNと無関係と必死に誤魔化してたくせにシティバンクを引き合いに出してミスリードｗ

書込番号：13115525

[Tadachan]

結局のところ、海外と差がついたまま…ですよね？
諸事情があるんでしょうけど、そこが引っかかりますねぇ。(-_-;




ありゃりゃ……何故そこにアンチさんも触れなかったか、考えたらいいですのにね。(^^;
それ以上に無茶ブリっぷりも凄いですね。(不覚にもウケてしまった…)
あの一件で、親愛なるファンの方々にも多大な影響を与えてしまいましたね。それがなにより罪。

書込番号：13116136

[誕生日に冷やご飯]

ハッカーが3人逮捕されたようですね。
http://headlines.yahoo.co.jp/hl?a=20110610-00000179-jij-int

書込番号：13116270

[誕生日に冷やご飯]

間違えました。こっちだ。
http://headlines.yahoo.co.jp/hl?a=20110610-00001225-yom-int

書込番号：13116295

[AVAL]

PSNを攻撃したから逮捕というか、エジプト、アルジェリア、リビア、イラン、チリ、コロンビア、ニュージーランドの政府やBBVA、Bankiaといった銀行、電力大手のENELなんかも攻撃していましたからね
http://www.vg247.com/2011/06/10/spanish-national-police-arrest-three-anonymous-members-in-spain/
捕まって当然かとｗ

しかし、米公聴会でSONYが流出の可能性から流出したと訂正してるのに何で認めないんだろ

書込番号：13116439

[ominae-yu]

おわびになってないなぁ（TT)
欲しいソフト１つも無いしPSプラスやトロステーション、PSホームも興味ないし。
ビデオコンテンツだけはいままで確定してなかったからわからなかったけど全部見てる・・・。
いくら金額にしたら結構な額でもいらん物どかどか積まれてもねぇ・・・・・。
逆にPSプラスとかトロステーションなんかおわびじゃなくて宣伝じゃないか。
あとなにが腹立つって上記のように必要なものがなに１つ無いから他にも選択肢増やして下さいってメールしたのに１０日以上返事がこないって事。
これで確定なんでしょうね。どうしたもんかな・・・。

書込番号：13116445

[Ｓ．Ｋｙｏ]

ominae-yuさん

愚痴いってないで・・・
http://www.asahi.com/business/update/0505/TKY201105050043.html

訴訟に参加したらよろしい。

書込番号：13116568

[愛車はBNR34Vｽﾍﾟ2 550PS]

まあ、あれだな、ネットワーク経由して個人的情報入力したら、流出もとーぜん可能性はあると考えて登録したほうがいいよな。まあ、ネットワークだけではないがな、いろんなところで流出する可能性があると考えて登録するべきだな。
この件で諸君らは勉強しただろう

書込番号：13117573

[ゴキタイマー]

もう保釈されたみたいよｗｗｗ
国内産業守るためこれを機にソニーを締め出す気じゃないだろうかと邪推ｗ

逮捕のハッカー３人保釈…ソニー流出、関与捜査
http://headlines.yahoo.co.jp/hl?a=20110611-00000426-yom-int

書込番号：13118226

[2560x1440モニタが欲しいなぁ]

ブラジリアン2さんは、その書込み内容のレベルの低さから、良くて学生、あるいは中学生と思われてきたし、
僕もそう思ってきた。

が、時々、関係者しか知り得ないような、内部工程とか内部状況を漏らす。

ひょっとして 彼の書込みに事実が含まれていて、本当に現場に近い内部関係者なのなら、
こんなんがちょっとでも関わってるような公開ネットワークっておそろしいだろう。

ほんまにそうなら、自分らで情報をばらまいときながら（抜かれたのは同じだ）、

>FBIに遅いと文句言いますか。

なんて書込み、あり得ないと思う。加害者意識がまるでない。
任天堂やシティバンクなんて、一体何の関係がある？

仮に営業関係だとしても、あまりにレベルと知識が低すぎるのだが、
子供とか関係ない部外者に、内部情報を 親とか兄弟あたりから漏らされてるとしたらそれはそれで深刻だろう。

書込番号：13121387

[ゴキタイマー]

>ひょっとして 彼の書込みに事実が含まれていて、本当に現場に近い内部関係者なのなら、

いや全て彼の妄想というか希望でしょうねｗ
仮に関係者だとしてもコンプライアンス違反で即解雇でしょうねｗ

書込番号：13122584

[さくさく(^O^)/]

利用期間が一年間位ならいいがプラチナ会員30日やプラス30日は要らない。

ソフトもメーカーを問わずPSNの好きなタイトル2本ダウンロードできたらいいのに、わたしの希望は、お詫びソフトにモンハン3rd HD ver.があったらいいんだけどな。


スレ違いで他に書き込んでしまい削除依頼しています。
すいません。

書込番号：13124104

[vacuaux]

全くその通りですね　ちなみにわたしの希望はFFシリーズかペルソナかバイオハザードシリーズです。

書込番号：13124561

[AVAL]

サードタイトルはSONYに負担がかかるので無理です

書込番号：13124569

[さくさく(^O^)/]

負担はわかります。

あくまで希望と言う事で、実現するとは思ってないですよ。

書込番号：13126127

[耀騎]

やっぱり、本当に個人情報を登録してあったユーザーと架空情報しか登録してなかったユーザーは、切り分けて対応すべきだと思います。
PSN登録情報から個人を特定されてしまうようなユーザーに対しては、SONY(≧SCEI)は誠意を以て贖罪すべきでしょうし、
逆に個人を特定されないような方に対しては、待ってくれていることに感謝こそすれ贖罪までする必要がないのに、「感謝とおわび」をひとまとめにするから勘違いされるんだと思います。

書込番号：13126178

[ポテトグラタン]

＞本当に個人情報を登録してあったユーザーと架空情報しか登録してなかったユーザーは、切り分けて対応すべき

これは、これからしそうな気がするのですが。
今回はPSNが障害により使用できなくなった事への「感謝とおわびのパッケージ」ですので、流出問題はまた別に対応するのではと思っているのですが。
ただ、それの調査もどこまで進んでいるのか、流出はあったのかどうかもイマイチ不透明なのですが。

確かに住所も氏名も架空という方は多いと思いますが、サインインIDやパスも個人情報ではありますので、切り分けできるものなか難しそうな気もするのですよね。同じサインインIDとパスを他で使用してたケースもあるはずですので。

隠蔽とも疑われるような後手後手の対応が続きましたので、事後処理はしっかりしていただきたいです。

書込番号：13126280

[耀騎]

＞これからしそうな気がするのですが。

もしそうなのだとしたら「感謝とおわびのパッケージ」なんて紛らわしいタイトルにせず、「感謝のパッケージ」とするなり欧米に倣って「ウェルカムバック パッケージ」とでもすべきだったと思いませんか？
上レスでも申し上げましたが、
＞「感謝とおわび」をひとまとめにするから勘違いされるんだと思います。

書込番号：13126365

[ポテトグラタン]

公式のリンク先の説明内容では

＞サービス停止期間中におかけしたご迷惑へのお詫びと、お待ちいただいたことに対する感謝の気持ち

であるとの事ですので、そのまんま「感謝とおわびのパッケージ」としたのでしょうね。
漏洩関連はその後の報告が無いためどのような進捗状況かわかりませんが、会見だったか、誰かへ回答で、「感謝とおわびのパッケージ」とは別に対応する旨の発言をしてたと思いました。実際に、いつ、どのような形で、本当に行うのか、全くわかりませんが。

書込番号：13126746

[ブラジリアン2]

AVALさん　

> サードタイトルはSONYに負担がかかるので無理です

サードタイトルでなくてもPSNがお金出して買いますから負担は掛かるんですけどね。(同じグループでも、決済は会社ごとですから)

ただ、人気などに応じてPSNが支払う値段は変わるでしょうね。

書込番号：13131376

[ブラジリアン2]

2560x1440モニタが欲しいなぁさん　

>>FBIに遅いと文句言いますか。
>なんて書込み、あり得ないと思う。加害者意識がまるでない。

私に加害者意識を求めているのでしょうか。なんで？

>任天堂やシティバンクなんて、一体何の関係がある？

任天堂は関係あるか分かりません。

シティバンクは関係大アリですよ。
問題は、PSNが現行データベースサーバに侵入された事です。
しかも、他の企業も攻撃される為、侵入手段はFBIや外部専門企業など限られた者たちにしか明かしていないと言う事です。
そして、ハッカーはまだ捕まっていない為、他の企業に対しても同じ方法を試みる可能性があります。

書込番号：13131415

[ブラジリアン2]

Pau00さん　

> 流出を確認できたらこういう補償をするとでも発表すれば良いのではと思っているのです。

それは良い案ですね。
アメリカの法律は分かりませんので、SCEがどこまでのサービスを出来るかは分かりませんが、「流出が確認できたら、こういう形でお詫びします」と言った方が良いですね。

>流出確認出来るまで日本では全面再開できないとなっているようなので再開は無理なのではないかな。確認てどうやるのかな？

これは初耳です。

確認は、流れたデータを抑えるなどではないでしょうか。
今のところ大量にユーザーデータが流れた痕跡はありませんので、データを持ち出されていないか、ハッカーの手元に留まっているか。どちらにしろ早くハッカーを捕まえて欲しいですね。

書込番号：13131444

[ominae-yu]

とりあえず無駄とは思いつつ電話してみました。
予想通り無駄でした（ＴＴ）
「私たちに言われてもお答え出来ませんので担当部署には伝えます」
いろいろ言ってたけど要約するとこれだけ。
直接苦情を伝えたいから担当部署につないでと言っても出来ません・・・・。
じゃあこのサポートはなんのためにあるの？意味無いじゃないかといってもすいませんだけ。
ほんと訴訟でもおこしたい気分だけどいかんせんどうやっていいかわからないｗ

書込番号：13135315

[AVAL]

>サードタイトルでなくてもPSNがお金出して買いますから負担は掛かるんですけどね。(同じグループでも、決済は会社ごとですから)

SCEじゃなくSONYって書いたんだけど？

>シティバンクは関係大アリですよ。

それよりもマイソニークラブの件とかSo-netの件とかSPEの件とかSMEの件とかソニエリの件とかの方が関係大アリじゃないの？
基本的にグループ内のシステムは同じ所が作ってて、グループ内のシステムが15件近くハックされてるんだからさ

>今のところ大量にユーザーデータが流れた痕跡はありませんので

はいどうぞ、
『発表では「一部の情報が漏えいしていた可能性がある」としか説明していなかった。深刻な情報流出を確認しながら、可能性を公表するだけにとどめ、被害状況を矮小化していた格好だ。』
だってさ
http://www.47news.jp/CN/201106/CN2011061501000302.html


>流出確認出来るまで日本では全面再開できないとなっているようなので再開は無理なのではないかな。確認てどうやるのかな？

これは違いますね、経済産業省に対して再発防止のための具体策を提出しないかぎり再開出来ないのはずです

書込番号：13136664

[Tadachan]

ominae-yuさん >

何もしないより、いいんじゃありません？(^^;

> ほんと訴訟でもおこしたい気分だけどいかんせんどうやっていいかわからないｗ

海の向こうの国と日本じゃ色々事情が違いますからね。
かつ、先経つものも要るし、体力も要るし…。簡単には行きませんわね。

書込番号：13137093

[ブラジリアン2]

AVALさん　

>>サードタイトルでなくてもPSNがお金出して買いますから負担は掛かるんですけどね。(同じグループでも、決済は会社ごとですから)
>SCEじゃなくSONYって書いたんだけど？

それはあまり関係ないですね。結局企業ごとに決算しますから。何度も言っていますけど。
カプコンでもどこでも良いのです。ただ、件数が多いのでそこそこ勉強して貰えるタイトルである必要はあったでしょうね。
かと言って、値崩れしまくった、いわゆるクソゲーと言われるものだけでも駄目だったから、LBPなど、そこそこ人気のあるものも混ぜたと言った所でしょうか。
しかし、「Store上の全ゲームの中から1点」の方が良かったですね。

書込番号：13149685

[やすぺ３１１０]

ブラジリアン2 さん
＞しかし、「Store上の全ゲームの中から1点」の方が良かったですね。

なんも知らん奴が　「グミ先輩」とかDLしちゃったら笑える〜ｗ

書込番号：13149715

[ブラジリアン2]

AVALさん

> それよりもマイソニークラブの件とかSo-netの件とかSPEの件とかSMEの件とかソニエリの件とかの方が関係大アリじゃないの？
> 基本的にグループ内のシステムは同じ所が作ってて、グループ内のシステムが15件近くハックされてるんだからさ

まだ、状況をつかめていなかったのですか。

SCEで狙われたのはwebサーバーに繋がったアプリサーバーです。
SCEの発表で、図入りで説明しているはずですよ。
しかも、PSNはクレカ情報の管理だけでなく、預金も扱っています。勿論使っているソフトも変わって来ます。お金を扱う場合は、セキュリティーレベルも跳ね上がります。
後、サーバー更改時期はシステムによって全然違うのがITの常識です。

しかし、SPEのとかSMEとかソニエリの件と自信満々に言っていますが、PSN以外のソニーグループでハッキングされた情報って、データーベースサーバーに管理されてて、webサーバー経由で操作・閲覧できるようになっていましたっけ？何か違うような気がするのですが、ソースはありますか？


話戻しますが、今回攻撃を受けたのはシティのオンライン・バンキング・サービスとリンク先に書いてありますね。
重要なのはここです。webサーバーを経由していないところはハッキングされていないのです。
さて、webサーバー経由でアプリサーバー上のアプリを動かし、データーベース上のデータを取得する、お金を扱っているシステム。どこかで聞いたことありますよね。


あと、PSNの件はアプリのバグですから、どの企業で使われていても同じバージョンのアプリを使っていたら同じ方法でハッキングできると思った方が良いでしょう。どの企業も基本的には閉め閉めのパラメーターにしているはずですから。

書込番号：13149735

[ブラジリアン2]

やすぺ３１１０さん　

＞＞しかし、「Store上の全ゲームの中から1点」の方が良かったですね。

＞なんも知らん奴が　「グミ先輩」とかDLしちゃったら笑える〜ｗ

爆笑です〜w

書込番号：13149740

[ブラジリアン2]

AVALさん

>>今のところ大量にユーザーデータが流れた痕跡はありませんので
>はいどうぞ、
>『発表では「一部の情報が漏えいしていた可能性がある」としか説明していなかった。深刻な情報流出を確認しながら、可能性を公表するだけにとどめ、被害状況を矮小化していた格好だ。』
>だってさ
>http://www.47news.jp/CN/201106/CN2011061501000302.html

あの、リンク先の記事、ちゃんと理解していますか？

この記事で問題にしているのは、漏えいしていた可能性があるデータが一部だったか大量だったかです。(あとこれ、「大量のデーターが持ち出された」ではなく、「持ち出された可能性がある」の誤記だと思います。ログが残るように見え見えの行動はとっていないはずですから)

まあ、これ書いた記者もSEじゃなくて、誤解もしているので、酷く分り辛い記事になっていますが。

相当量のデータが持ち出されたかどうかと、漏洩があったかどうかは別です。
データーベースでのデーター保管方法について、このクチコミに前に書いたのですが、難しかったでしょうか。
まあ、データーベースでググれば図解でやさしく教えてくれる所もあるでしょう。

データーは持ち出しただけでは単なるゴミです。
パズルを解いて、それを意味あるものにして始めて漏洩となるのです。
ただ、パズルを解く鍵はデーターベース上のどこにも無いと言う事です。

今のところ、ユーザーデータが大量に出回った形跡は無いので、漏洩があったかどうかは分かりませんね。

あと、マスコミは煽る事でお金が入ってきますので、鵜呑みにはせず、読んだ後はご自分で調べるようにした方が良いですよ。

まあ、漏洩があって、まだハッカーの手元にあるだけなのかも知れません。FBIの調査待ちですね。

書込番号：13149764

[ブラジリアン2]

AVALさん

>>流出確認出来るまで日本では全面再開できないとなっているようなので再開は無理なのではないかな。確認てどうやるのかな？
>これは違いますね、経済産業省に対して再発防止のための具体策を提出しないかぎり再開出来ないのはずです

これは直ぐにできるので問題ないでしょう。
新システムには同じバグは無いのですから。

ゼロデーやマイナスデーは防止しようが無いのは経済産業省も分かっていますし。

書込番号：13149768

[ブラジリアン2]

AVALさん　

> しかし、米公聴会でSONYが流出の可能性から流出したと訂正してるのに何で認めないんだろ

SCEJ公式ページでは、まだ可能性と書いてありますね。

情報が食い違っている場合、どちらか片方を鵜呑みにするのは無謀です。
特に、記事書いている記者も良く分っていないので、結構間違いがありますし。

私は、どうやったら流出を確認できるのか分りません。
データベース上のデータを直接外に出せる訳ありませんし。
一旦ローカルファイルとして落とす？データーベースサーバーにはそんなに大きなフリースペースを設けないので、ローカルに落とせるかどうか。
あと、FTPデーモン動いていないだろうし、外にポートが繋がっていないので、ログが残るような通常方法は使っていないだろうし。

発表内容からすると、中レベルのセキュアIDを盗まれたようだけど、それだとテーブル一覧も出せません。
(マスコミも無意味に煽らず、どのテーブルが閲覧されたかをPSNに尋ねるべきです。ログが残っているはずですから)

こうすれば漏洩の有無が分る、と言うようなアイデアあったら教えて下さい。あと、テーブル同士の繋がりは高権限IDでなくてもこの様に取得できる、と言うのがあったら教えて下さい。
(私は断言するのは非常に困難だと思いますので、SCEの公式ページ若しくはFBIにて正式に発表されるまで待ちます)

書込番号：13149793

[ブラジリアン2]

2560x1440モニタが欲しいなぁさん　


> が、時々、関係者しか知り得ないような、内部工程とか内部状況を漏らす。

普通に公開されている情報ですよ。

「ググれ！」

書込番号：13149798

[ブラジリアン2]

AVALさん　

>『発表では「一部の情報が漏えいしていた可能性がある」としか説明していなかった。深刻な情報流出を確認しながら、可能性を公表するだけにとどめ、被害状況を矮小化していた格好だ。』
だってさ
>http://www.47news.jp/CN/201106/CN2011061501000302.html

この記事読んで、おかしいとは思いませんでしたか。
この記者は良く分っていないのに適当に書いている為、こんな変な記事になっているのです。

SCEはハッキング被害について最初に発表した時、「一部のデータ」と言ったのを、この記者は「データの一部」と勘違いしているのです。
SCEは最初の発表から、IDや住所などの一部のデータで、全ユーザーのデータが漏洩していた可能性があると言っています。しかも、丁寧にどの項目が閲覧可能になっていたか、リストを掲載しています。
SCEの最初の発表をもう一度読んでみて下さい。

書込番号：13162238

[AVAL]

経済産業省資料1	経済産業省資料2	経済産業省資料3	経済産業省資料4

共同通信が経済産業省から情報公開請求で入手した資料のコピーです
2ページ目、4月25日の部分ですが


>4月25日(月)
>これまでの間で、調査チームは、持ち出されたと思われる個人情報の範囲は確認することができたが、クレジットカード情報については、アクセスされた可能性を完全に排除できるまでには至らなかった。全てのユーザーアカウントアカウントの登録情報（氏名、住所、Eメールアドレス、生年月日、PlayStation Networkパスワード、PlayStation NetworkオンラインID）のうち、相当量のデータが持ち出されたことが判明しているが、具体的に誰のどの項目が持ち出されたかは判明していない。SCEIとしては、十分な解析調査を経ずに中途半端な状態で情報を公表することは、徒にお客様を混乱させてしまうことを危惧していた。しかしながら、4月25日時点においても、クレジットカード情報がアクセスされたかどうかについて判断を下すことができなかった。他のアカウント情報に関しては、侵入者がクエリーを実行したログと、その後一定量のデータがネットワークから転送されている痕跡が見つかっているが、クレジットカード情報に関しては、調査チームは、クエリーが行われたログもそれに対応するようなデータ転送の痕跡も発見していない。調査の結果において、持ち去られたことを示す形跡は見つかっていなかったが、取得された可能性を完全に否定することも最終的にできない状態だった。そこで、SCEIは、お客様の個人情報の一部が持ち出され、クレジットカード情報も持ち出された可能性を排除することができないことを告知することにした。


とありますので、相当量のデータが持ち出された事はSONY側も認識していました
5月1日の記者会見の時点で既に可能性ではなかったんですよ
米下院への報告書でも流出の可能性から流出に書き直していましたし、記事の通り被害状況を矮小化していたと言われても何も間違っていませんよ

書込番号：13162503

[AVAL]

経済産業省資料5

最後の5枚目です


前もありましたけど、都合が悪くなると日本語がわからなくなるのはやめてくださいね

書込番号：13162507

[++Dreamer++]

別のスレッドでブラジリアン2さんに質問した件について解答いただいておりませんが、
AVALさんが提示していただいたSCEが経済産業省に報告した内容に関する経済産業省の
結論が下記になります。

http://www.meti.go.jp/press/2011/05/20110527005/20110527005.pdf

�@ 委託先のＳＮＥＩにはＣＩＯなどの情報セキュリティに関する専門的
な責任者がおらず、また、異常発生時における報告連絡体制に係る規程等
の整備がされていないなど、組織的安全管理体制に不備があったこと。

�A ＳＮＥＩにおいては、ネットワークの利用をビジネスの中心とし、かつ、
７，７００万件もの個人情報を保持していながら、公知の脆弱性について
自社で確認する体制が整えられておらず、技術的安全管理体制に不備があ
ったこと。

�B ＳＣＥとＳＮＥＩとの間には、安全管理措置を遵守させるために必要な
委託契約が締結されていないなど、個人情報の取扱状況を直接かつ適切に
監督する体制が整えられていなかったこと。

SCEの報告を読むときちんと管理して、脆弱性を監視しているように回答していますが、
経済産業省からは、管理体制もきちんとしていない、公知の脆弱性を確認する体制も
取れていないと結論付けられています。
結局、SCEはきちんと報告していなかったということになりますね。

一方で、ブラジリアン2さんは、攻撃を受けたのは未発表の脆弱性をつかれていて、
ソニーだけでなく銀行も危ないと状態だとか、今回の事件以前からサーバー強化を
実施予定だったとかと発言されていますがその情報元を提示してくれません。

今回の件については、ソニー自身が公知の脆弱性によるものと記者会見でも報告、
経済産業省も上の資料でそれを示唆しています。

ブラジリアン2さん、今一度ご確認します。おっしゃっていることの情報元をご提示ください

書込番号：13162794

[ムアディブ]

AVALさんGJ

4/19「複数のサーバーが予期せずリブートしていること」から異変に気づいたとある。
⇒ 運用側はまったく不正活動を検知する目を持ってなかったことがわかる。仕方が無いとかいうレベルじゃない。

4/23 「侵入者は、、、システム管理者から身を隠しながらサーバー内で権限をエスカレートさせていった、、、ログファイルを削除する等の行為を行っていた」

>データベース上のデータを直接外に出せる訳ありませんし。

どういう意味で「直接」と書いてるのかわからんが、システムに侵入されて権限昇格してるのに、なんであろうと不可能と断言できる理由がわからん。コンピュータの仕組みをわかってないとしか思えないんだけど。

そもそもWebアプリでそんなに複雑なロール組むとも思えないし。

>あと、FTPデーモン動いていないだろうし、外にポートが繋がっていないので、ログが残るような通常方法は使っていないだろうし。

ログが改竄できるってこともわかってない?

SONYの発表をよくよめば、「ログがもはや信頼できないのでクレジット番号が盗まれたかどうかはわからない」と言ってるのはわかると思うんだけど。

何も不明快なところはないよ。個人情報が持ち出されてることは確認してると発表してるわけだし。クレジットについては「わからん」と言ってるわけだから、わからんのよ。

>発表内容からすると、中レベルのセキュアIDを盗まれたようだけど、それだとテーブル一覧も出せません。
(マスコミも無意味に煽らず、どのテーブルが閲覧されたかをPSNに尋ねるべきです。ログが残っているはずですから)

情報抜くのになんでテーブル一覧が必須なの?
権限昇格してるとあるのになぜログが残ってると断言できるの?
セキュリティのプロが入ってて「確定できない」と言ってるって事はログが信用できないって意味だよね。

>こうすれば漏洩の有無が分る、と言うようなアイデアあったら教えて下さい。あと、テーブル同士の繋がりは高権限IDでなくてもこの様に取得できる、と言うのがあったら教えて下さい。
(私は断言するのは非常に困難だと思いますので、SCEの公式ページ若しくはFBIにて正式に発表されるまで待ちます)

アイデアとか関係なくて、調べた人間が「判明した」と言ってるんだから判明したんでしょ?
なぜそこだけSONYの発表を信じない?

技術のことを良く知ってるかのように書いてるけど、なんか思い込み多いし、IT関係の仕事してたのかもしれないけど、論理的判断が出来てないし、システムレベルのことが良くわかってないよね。

そもそもどのDB使ってるかもわかってないはずなのに、自分の知ってるDBの仕様で判断してるようだし。

>ゼロデーやマイナスデーは防止しようが無いのは経済産業省も分かっていますし。

ゼロデーじゃないってSONYも発表してるんだが。

とりあえずSONYの発表を1000回くらい読んだほうがいいな。

少ない知識で大胆に推測 & 言い切りをして、必死でSONYを庇おうとしているのはわかるんだが、SONYにとっては迷惑だろ。

書込番号：13165909

[Tadachan]

> SONYにとっては迷惑だろ。

SONYファンにとっても、ですね。
本件に付いては熱烈なファンでさえも開いた口がふさがらないモノ。
それなりに鎮静していたものを、"わざわざ"蒸し返して…。
更に、数日後に追加したものの「(数日考えた結果が)これ？？？」。

そんなご期待にもれなくニュースも出てきましたよ。ファンの皮をかぶったアンチさん。
http://jp.reuters.com/article/topNews/idJPJAPAN-21878120110624

書込番号：13173517

[AVAL]

一応上記の資料と対になる5月1日の記者会見を全文文字に起こしてるサイトを紹介しておきますか

http://japanese.engadget.com/2011/05/01/playstation-network-qriocity/

書込番号：13182300