ハッカー集団「アノニマス」の脅威

情報流出を防げなかった理由

前述の経緯のとおり、ソニーはPlayStation3のハッキング行為を繰り返していたハッカーに対して法的措置を繰り返し、最終的に、このハッキング行為に関係のないWebサイト閲覧者のIPアドレスまでも取得するという行為にまで及んだ。

結果として、それまでのソニーの対応を傍観あるいは注視していたと思われるアノニマスの堪忍袋の緒が切れ、ソニーが彼らのサイバー攻撃のターゲットになったとみることができる。

しかし、大規模な情報流出については、アノニマスによるサイバー攻撃が不成立となったあとに発生していること、そしてアノニマスが関与を全面否定しているという状況を眺めるかぎり、第三者のハッカーあるいはその集団が行なったとみるのが自然ではないかと筆者は考えている。

また、このような大規模な情報流出を防げなかった理由については次のような要因が重なってしまったためと考える。

1.法的措置を繰り返してきたソニーに対する反発の広がりが、想定以上だった。

ソニーは、PlayStation3ハッキング行為を事実上の野放し状態にしていたのにもかかわらず、2011年1月に米国ハッカーにより不正プログラムを公開されてから、唐突感のあるアカウントの強制削除を示唆した警告や法的措置を連発しはじめた。

とくに、ソニーとハッカーの確執の焦点となった“他のOS”のインストール機能については、ソニー側は「コンテンツの著作権の保護の問題」とするのに対して、ハッカー側は「一連の行動は、“他のOS”のインストール機能を取り戻すこと」としており、大きな主張の隔たりがみられた。

それに対し、ソニー側は譲歩の姿勢をほとんど見せることがなかった。たとえ幾分かの譲歩の姿勢があったとしても、それらがハッカー側に伝わっている気配はなかった。

2.ハッカーおよびその集団のサイバー攻撃能力と、ソニー自身のネットワークシステムにおける脆弱性の把握不足がみられた。

アノニマスの行動特性やサイバー攻撃能力は、過去数年間の状況をみると、その高い攻撃能力を予見することができたはずである。

また、2011年2月の時点で、PlayStation Networkで流れる通信情報の解析が行なわれ、一部警告も出されていたのにもかかわらず、ネットワークシステムの脆弱性の検証が十分に行なわれていたとは言い難い。

また、とくに米国において、ソニーの対応の遅れが指摘されているが、ソニーから社内手続きに関する詳細な報告がされていないため言及は避けたい。

しかし5月1日の記者会見時に、CISO（Chief Information Security Officer：最高情報セキュリティ責任者）の新設が発表されたということは、それまでの社内体制においては、セキュリティ上のインシデントに関する意思決定機能が分散化されていたと考えられる。