ハッカー交流サイトとされる掲示板が最初にこの問題を指摘したのではなく、情報セキュリティの専門家がTwitterで5日の夕方に指摘した脆弱性が転載されたのが事の始まりのようだ。その脆弱性は、Webアプリケーションのソースコードが丸見えになっているというもの。Webアプリケーションのソースコードを見えなくするのは基本的なセキュリティ要件であり必須である。なぜなら、ソースコードが見えてしまうと、データベースへのアクセス方法や場合によってはパスワードまでもが露呈し、泥棒に金庫の場所とアクセスコードを渡すようなものだからである。
Twitterでつぶやかれたすぐ後には、掲示板にそのWebアプリケーションへのURLが掲載され、そのURLをクリックすると誰でもソースコードを見ることができた。そのためそのソースコードが解析され、その中に問題のExcelファイルの名称があった。さらにExcelファイルへの直接のURLが掲示板に掲載され、6日未明には海外のハッカー情報サイトに掲載された。それからやっとリンク先のWebアプリケーションとExcelファイルがサーバーから削除された。
さらに、7日夕方には、前述の掲示板で海外のソニー関連サイトのXSS(クロスサイトスクリプティング)の脆弱性が公開された。XSSへの対策は、入力値や出力値のチェックを行えば済む話であり、これは今ではWebアプリケーション開発における"いろは"の"い"である。高度なテクニックではなく、全てのWebサイト構築上の常識である。その他にも様々な脆弱性が情報セキュリティ専門家らの手によって発見され、情報処理推進機構(IPA)などに報告されているようである。
5月1日には1週間後をめどにPSNとQriocityの一部のサービスを再開するとしていたが、7日には延期が発表された。ここ数日間の動きから、これからも脆弱性が指摘されたり情報漏洩につながる攻撃が行われたりすることが予想されたからであろう。
プレイステーション関連では、2000年にもWebサイトから情報が漏洩し、このときも初歩的な脆弱性を突かれ、誰でも他人のデータを閲覧できるようになっていた。
早急に建て直しを図り、日本を代表する企業として、これ以上の日本ブランドの失墜を避けるという意味でも、基本的な対策はもちろん、期待されるレベル以上のセキュリティ対策を講じて頂きたいものである。
ソニーは、悪いニュースを迅速に情報開示しなかったとして非難を浴びる最新の日本企業になった。東京電力は3月11日の東日本大震災の後で起きた原子力発電所事故の件で批判されている。昨年にはトヨタ自動車が大型リコール関連問題で酷評された。
しかし大企業はたるんでいる。情けない話である。
