ベクター・ジャパンはECU（電子制御ユニット）のキャリブレーションツールである「CANape」向けに、先行車両の追従機能や車線逸脱防止機能の開発を支援するオプション「オプションアドバンスドマルチメディア」を開発、「人とくるまのテクノロジー展2011」（2011年5月18～20日，パシフィコ横浜）に出展した。

　CANapeは、CANを通じてECUやセンサなどから各種の測定データを取得し、ECUの開発・キャリブレーション・診断をするためのツール。今回のオプションは、カメラの画像から動く物体を検出したり、動く物体の輪郭を検出する処理の開発を可能にするほか、画像にミリ波レーダなどの検出状態を重ねて表示できる。

　レーダなどで検出した物体の位置、物体までの相対距離などを画像に重ね合わせて、路面の白線検知のようなアルゴリズムが正しく動作しているかどうかを画像を見て判断できる。さらに、この検出結果を他のECUなどに出力して速度を制御するといった機能の効率的な開発が可能になる。

Michael Riley（Bloomberg News記者）
Ashlee Vance（Bloomberg Businessweekテクノロジーライター）
米国時間2011年5月12日更新「 Sony: The Company That Kicked the Hornet’s Nest 」

　インターネットの世界には、「ストライサンド効果」と呼ばれる現象がある。個人や企業が特定の情報を封じ込めようとすると、かえってその情報が拡散してしまう現象だ。この名称は、米著名歌手バーブラ・ストライサンド氏が、2003年にネット上に掲載された米カリフォルニア州の高級住宅街マリブの自宅写真の削除を求めて裁判を起こした騒動に由来する。この提訴の結果、より多くの人が、写真を掲載したサイトに殺到した。

　今後、サイバーセキュリティーの世界で、こうした“やぶ蛇”効果は「ソニー効果」と呼ばれるようになるかもしれない。日本を代表する大企業ソニー（SNE）は4月、据え置き型ゲーム機「PlayStation」用のオンラインサービス「PlayStation Network（PSN）」や米子会社ソニー・オンラインエンタテインメントのネットワークに対して、ハッカー攻撃による被害を受けた。

　同社のゲームや映画、音楽のサービスを利用する顧客は約1億人に上る。ソニーへのハッカー攻撃は、クレジットカード情報を含む顧客情報が流出した事件としては、米国史上2番目に大規模なものとなった。ソニーはオンラインサービスの無期限停止を余儀なくされた（本誌注：5月12日時点）。被害は、金銭的な損害とPlayStationブランドの信用失墜の両面に及んだ。被害の全体像が明らかになるには、数カ月もしくは数年かかるかもしれない。

著名ハッカーのホッツ氏と法廷闘争を展開

　今回の件は、図らずも、ソニーが自ら招いた可能性がある。ほかのIT（情報技術）企業がハッカーと協力してでもセキュリティー対策に取り組んでいるのに対し、ソニーは訴訟や刑事告訴などの強硬手段でハッカーと対峙してきた。セキュリティー問題の専門家らは、ソニーはサーバーの重要な領域を適切に保護するどころか、監視すら怠り、車に鍵を挿しっぱなしにするに等しい失態を演じた可能性があると指摘する。

　米インディアナ州パデュー大学のユージーン・H・スパフォード教授（電算機科学）は、米議会が5月4日に開催したソニーの情報流出問題に関する公聴会で、「ソニーは、全く危険性を検証せずにネットワークを運営していたように見受けられる」と証言した。

　ハッカー集団がソニーのネットワークを標的にする引き金となったのは、ソニーが今年初め、「GeoHot」の通称で知られるハッカー、ジョージ・ホッツ氏（21歳）に対して強硬姿勢を取ったことかもしれない。ホッツ氏は17歳の時に、米アップル（AAPL）のセキュリティー防御の網をかいくぐって、同社の初代iPhoneのアンロック（SIMロックの不正解除）に成功し、iPhoneをどの携帯通信事業者でも使用できるようにした。これにより同氏はハッカーの世界で一躍注目の的になった。

　ホッツ氏は2010年、ソニーの据え置き型ゲーム機「PlayStation 3（PS3）」のセキュリティーを破り、個人が作った自作ソフトや承認されていないソフトを動作させる方法を発見した。同氏がこの改造方法を自らのブログで公開したため、ソニーは情報削除を求めて同氏を訴えた。

　米連邦地方裁判所は1月28日、ソニーの請求を認め、ホッツ氏や仲間のハッカーに対して情報掲載差し止めと、コンピューター端末などの提出を命じた。また3月には、米ツイッターや米決済サービス大手ペイパルから同氏のアカウント情報をソニーが取得することを認める決定を下した。

　これに対して「ホワイトハットハッカー」と呼ばれる善良なハッカーとして、企業がセキュリティー上の脆弱性を発見する手助けをしているデーブ・エイテル氏は「仲間内で高い評価を受けているハッカーを活動停止に追い込むべく訴訟を起こしたことで、ソニーはハッカーの不興を買った」と見ている。米クレジットカード大手マスターカード（MA）などの決済サービス会社のウェブサイトを2010年12月に攻撃したハッカー集団「アノニマス」は、ソニーに対する報復攻撃を宣言した。

　ホッツ氏への法的措置の後、2月には、ドイツの警察当局がPS3で自作ゲームを稼働させるソフトウエアを配布した別のハッカー、アレクサンダー・エゴレンコフ氏が住むマンションの家宅捜査に踏み切った。

グーグルなどはハッカーの懐柔を図る

　ソニー以外のIT（情報技術）企業は、法的取り締まりではなく、ハッカーの技能を味方に付ける方策に乗り出している。例えば、米マイクロソフト（MSFT）はハッカーに対して、ゲーム操作システム「Kinect」のロックをはずすことを認め、優秀なハッカーの一部を会議に招待している。米グーグル（GOOG）はホワイトハットハッカーに報酬を支払い、欠陥がないか検証を受けている。

　米セキュリティー対策会社モカナの上級アナリスト、ロバート・バモシ氏は「ソニーは他社と比べてかなり柔軟性を欠いている。ソニーのようなハードウエアメーカーは、専門家がセキュリティー上の問題点を指摘しても、あまり耳を傾けない」と語る。

セキュリティ情報を公開ウェブサイトに放置？

　ソニーは3月31日、ホッツ氏との訴訟で和解。同氏はPS3改造情報を削除することに同意した。しかし、このころ既に、誰かがソニーのネットワークの脆弱性を突こうと暗躍していた。

　ベテランのセキュリティー専門家ブレット・マクダネル氏によれば、ネットワークの脆弱性を体系的に調査する不正侵入検知ソフトが、3月3日午前7時9分にPSNのセキュリティー確認を実施したという。マクダネル氏がこの事実を知っているのは、ソニーが、システムが実行したすべての処理を記録するサーバーログの一つを、公開ウェブサイトに無防備に置いていたからだ。同氏は「こうしたログがパブリックドメインに置かれていたら、侵入者がシステムを解析する情報を手にする恐れがある」と指摘する。

　マクダネル氏は「侵入者はそれほど入念な行動を取っているわけではなく、容易に入手できるプログラムを使用している。サーバーログを確認すれば、誰でも気づくような足跡があり、侵入は阻止できた。対策を講じなかったのはソニーの怠慢だ」と批判する。

　4月15日、6週間に及ぶ調査の後、ハッキング侵入ソフトウエアの動作が急に停止した。マクダネル氏は「動作が止まったのは、探していたネットワークの脆弱な部分を発見したからである可能性が濃厚だ」と語る。

　その4日後、ソニーは不正侵入の最初の痕跡に気づいた。同社の広報担当者は「当社を攻撃したハッカーは極めて高度な技能を持っている。当社はネットワークに重層的なセキュリティー対策を講じていた」と述べている。

　この攻撃の犯行声明は出ていない。だが、ソニー幹部らは議会に、ハッカーが残したファイルに「We are legion」というアノニマスの標語が書かれていたと報告している。犯行者が誰であれ、ソニーはストライサンド効果の影響を念頭に置く必要がある。何しろ、同社は音楽レーベルを持ち、ストライサンド氏の版権も所有しているのだ。

© 2011 Bloomberg L.P. All Rights Reserved

ウサマ・ビンラディンの殺害からおよそ1週間。これまで米国内で、ビンラディン殺害に関する批判はまったく聞こえてこない。

　周囲のかなりリベラルで国際派の米国人らに「国際法を違反した可能性があると言う人がいるが・・・」と質問してみたが、鼻で笑われてしまった。ある人は「そんなことを言っているのは、今回の作戦で蚊帳の外におかれたヨーロッパ人だろう」と言い、周りは大きく頷いたり、にやりと笑ったりしていた。

　誰もが「正義が成された」と言い、お祭り気分はまだ続いている。

　連日、朝から晩まで続くビンラディン関連のニュースを聞きながら、釈然としない気持ちと、周囲との違和感を感じていた中で、ある話題が目に留まった。

学校内で逮捕される子供たちが増えている

　今年の3月、カリフォルニア州に住む11歳の少年が逮捕された。

　ブレントン・ペライタ君は、事件が起こるまでの数カ月間、いじめに遭っていた。クラスメートにひどい言葉でののしられたり、暴力を受けたりしていた。

　そこでブレントン君は、これ以上やられっぱなしではいけないと、ある日言い返すことにした。「お前たちを撃ち殺してやる」。

　生徒たちからこの話を聞いた先生は校長に連絡し、校長は警察に連絡し、間もなくブレントン君は「恐喝罪」で逮捕される。手錠をかけられ、顔写真を撮られ、指紋を取られた。

　学校と警察の言い分は、キャンパスでの銃を使った犯罪の示唆は重く受け止めなければならず、厳しく対応すべしということだ。

　ブレントン君と彼の両親は、それまでいじめについて何度も学校に相談に行っていた。これまで暴力を受け、メガネを壊されたこともあったが、それについては学校も警察も何もしない。しかし少年が勇気を振り絞って言い返した言葉が、たまたま銃を示唆したため、有無を言わさず逮捕とは、教育現場はどうなっているのだと、父親は語った。

　警察は、その後の捜査でブレントン君の家には銃が発見されなかったと発表した。

机に落書きをしたら手錠をかけられる

　このニュースは、銃がからんでいるから逮捕に至ったのかと思ったら、最近、子供の逮捕が増えているという。しかも「罪状」がいたずら程度のことなのだ。

　ニューヨークシティーの高校に通う15歳の少年は、科学の授業中につまらなくて机に黒い油性のペンで落書きした。○と×を交互に書き、その後それぞれを四角で囲んだ。

　彼は問題児ではなかった。ごく普通の高校生で、それまで学校で問題を起こしたことはなかったという。

　しかし学校は警察に連絡し、彼は「公共物破損」の罪で逮捕された。校内で手錠をかけられた。

　その後学校は起訴を取り下げたが、少年は家庭裁判所に出廷して、最終的に地域奉仕活動を命じられた。

　ニューヨーク州に住む12歳の少女も、机に「アビーとフェイスは私の大好きな親友です。レックス」と書いたために、校内で、友人たちの目の前で手錠をかけられ逮捕された。

　フロリダ州に住む8歳の小学生男児は、3カ月で5回逮捕された。先生を殴り、蹴り、噛み、物を投げつけ、さらに窓を割ったという。この少年は、明らかに問題を抱えており、警察よりはカウンセリングを必要とされると思われる。

　学校側は、「もちろん学校で生徒が逮捕されるという事態は避けたいのは山々です。しかし、学校のスタッフや他の生徒たちが危険にさらされ、他にどうすることもできない場合は警察に連絡するしかありません」と言っている。他のケースでも似たようなコメントを学校は出している。

　こうした事態がいかに異常かということは、言葉よりも映像で見る方が分かりやすい。フロリダ州で起きた5歳幼稚園児逮捕事件を伝えるニュース映像を見ると、よく分かる。

　事件そのものは6年前でやや古いが、状況は同じだ。かんしゃくを起こし、先生や物に当たり散らす5歳の女の子に手を焼いた先生が警察に連絡し、警官が幼稚園にやってきて園児に手錠をかけて逮捕する。そこには、子供への愛情も、教育とは何かという問いかけも存在しない。

　米国では、校内での生徒逮捕は決して珍しいことではない。全国的な件数の調査はないが、フロリダ州西部にあるヘルナンド郡（人口13万人）が先月発表した数によると、この地域では過去2年で444人の生徒が逮捕されているという。地域の規模を考えると、逮捕が日常化していることがうかがえる。全国的な数は、相当なものになることが予想される。

歯止めがかからないゼロトレランス方式

　背景には、1990年代から米国の学校が取り入れ始めた「ゼロトレランス方式」が暴走したことにある。

　「ゼロトレランス方式」とは、元々は学校への武器やドラッグの持ち込みを食い止めるために導入された厳しいルールで、意図的でも意図的でなくても、間違いでも、無知が原因でも、いかなる状況でも学校が禁じた物を校内に持ち込んではならず、規則に違反した者は厳しく処罰される、というものだ。

　当時深刻だった学級崩壊や校内暴力を止めるために推進された。

　その後、ゼロトレランス方式は、禁止された「物」の持ち込みだけでなく、いかなる状況でも校則を破った者は厳しく罰せられるというように広げられた。

　この「厳しく罰せられる」がエスカレートして、ここ数年「警察に連絡して逮捕してもらう」になったのだ。

　当初はどうしようもない暴力などが逮捕の対象になっていたようだが、それも数年のうちに、机の落書きなど、先生と生徒が話し合って解決すればいいような問題にも警察が介入するようになっている。

　前述したように、学校で子供が逮捕される話はビンラディン殺害の報道をずっと聞いている時に目にしたものだ。

　一見、まったく関係ない2つの話題だが、なぜか、どこかにつながりがあるような気がした。

　米国人は「正義」と「法の秩序」に関して、他の国とやや違う考え方を持っているのではないか。それは、この国ができた経緯とその道筋に関係しているのではないか。そんなことをふと考えた。

ソニーの個人情報流出が波紋を広げている。ゲームや映画、音楽などをインターネット配信するシステムにハッカーが侵入し、最大1億人以上の個人情報が流出した恐れがある。ネットワークをデジタル商品の“要”と位置づけながら、ユーザーを守るセキュリティ体制を甘く見た代償は大きい。

　偶然とはいえ、あまりに最悪のタイミングだった。

　ソニーが不正アクセスによる個人情報流出を発表した4月27日の午後、東京都港区の青山葬儀所で、まさにソニーの黄金時代を牽引した大賀典雄元社長の密葬が行われていた。幹部役員を含め400人以上の近親者が参列し、音楽家でもあった故人の歌声が流れ、ハワード・ストリンガー会長兼ＣＥＯも弔辞を読み上げた。

　ソニーがインターネットサービスに異常を確認して調査を始めたのは4月20日のこと。ところがストリンガー氏は、葬儀の場はもちろん、その後も自らの肉声で事件について説明することはなかった。今月5日になって米国のブログ上に謝罪メッセージを掲載したが、そんなお粗末な意思通達の方法には、社内からも失望の声が上がっている。

　また、同社のネットワーク商品を担当する平井一夫副社長らも葬儀前日、新型タブレット端末の発表会で登壇している。この時点で流出事件の詳細を把握していたにもかかわらず、「新しい顧客体験を提案していく」などと笑顔で新製品のアピールのみに努めていた。

　こうした空々しさが、逆にユーザーや関係者の不信感をいっそう増大させた。

　そもそも近年、ソニーがサイバー攻撃の標的になる危険性が高まっていることは、ソニー自身がいちばん熟知していたはずだった。

　同社は看板ゲーム機のプレイステーション3（ＰＳ3。2006年発売）をめぐり、海賊版の使用などにつながるとして、ハッキング行為への対決姿勢を強めてきた。今年1月には、ＰＳ3のセキュリティの暗号を公開した米国人ハッカー、ジョージ・ホッツ氏（21歳）らを米連邦地裁に提訴。さらに同氏のサイトにアクセスした閲覧者についても身元を突き止めようと情報開示を求めた。

　これに反発し、ネット上の情報の自由を掲げるハッカー集団「アノニマス」がサイバー攻撃を呼びかけていた（表参照）。4月3日にはソニーへのサイバー攻撃を始め、米サンディエゴにあるサーバなどを麻痺状態に陥れようといっせいに攻撃。ソニーはセキュリティ専門会社に依頼して防御するなど、一進一退の攻防が続いた。

　一連のトラブルとの関連性は明らかになっていないが、4月26日、世界59ヵ国、7700万人分のユーザーがネット上でゲームなどを楽しむプレイステーションネットワーク（ＰＳＮ）に登録されていた氏名や住所、ＩＤ、パスワードなどに加え、最大1000万件弱のクレジットカード番号など個人情報が漏洩した可能性があると発表。さらに5月3日、2件目の流出事件として、新たに個人情報2460万件の漏洩の可能性を発表し、サービスの長期停止に追い込まれた。

補償やセキュリティ強化で
費用は1000億円弱？

　問題は調査の過程で、ソニーは「非常事態」にもかかわらず、肝心のセキュリティを軽視していた経緯が浮き彫りになったことだ。不正アクセスを受けたＰＳＮのシステムの安全性のためには「脆弱性と呼ばれる欠陥が見つかれば、できる限り早く、それを防ぐパッチを施す運営体制が必要」（高木浩光・産業技術総合研究所主任研究員）だが、そうした措置が取られていなかった疑いがある。

　ソニー側は記者会見で、不正アクセスの侵入経路は「世の中では知られていた既知の脆弱性。しかし（子会社の）担当者は認識していなかった」と“穴”を見落とした可能性を認めた。さらにシステムを監視するサイクルの頻度を上げると説明した。

　2件目の流出では、07年以前の古いサーバ内にあった1万2700件のクレジットカードやデビットカードの情報が、消去や暗号化されずに残されていたという、ずさんな状況が露（あらわ）になった。

　複数のセキュリティ専門家は「管理運営にかかる高いコストや労力について、経営者らが必要性を認識していなかったのでは」と指摘している。

　ソニーが支払う代償はどのくらいの規模になるのか。シティグループ証券はレポート（5月5日付）で、クレジットカード不正利用に対する補償、無料サービス提供、セキュリティ強化などの実費は総額で1000億円未満と試算。さらにＰＳ3やプレイステーション・ポータブルを中心に、ＶＡＩＯ、ウォークマン、GoogleTVなど、ネットワーク端末の伸び悩みが懸念されると発表した。

　そして最も深刻なのは、個人情報流出にさらされたユーザーらは、ソニー製品を愛する「最後の砦」だったことだ。彼らの信頼を得られなければ、タブレット端末のシェア奪取どころか、不振にあえぐエレクトロニクス事業の命取りにもなりかねない。

（「週刊ダイヤモンド」編集部　後藤直義、藤田章夫）

ソニーグループが展開するゲームなどのインターネットサービスにハッカーが不正侵入し、日米欧などで延べ1億人以上の顧客の個人情報が流出した可能性が高まっている。ソニーは「既知の脆弱性」を突かれたと説明するが、それは具体的に何を意味するのか。また、一部メンバーの攻撃の痕跡が発見された国際ハッカー集団「アノニマス」は、本当にこの事件の黒幕なのか。ハッカー、ギャング、国家まで巻き込んだサイバー犯罪の恐ろしさを描き、欧米で話題を呼んだノンフィクション「Fatal System Error」の著者で、現在フィナンシャルタイムズ紙のセキュリティ専門記者としてこの事件の取材にあたっているジョセフ・メン氏に話を聞いた。（聞き手／ジャーナリスト 瀧口範子）

――今回の事件をどう見ているか。

　クレジットカードやデビットカード情報がシステムから直接盗まれた被害例では、過去に1000万件レベルのものもある（一方、ソニーの今回のケースでのカード情報自体の流出は現時点で数万件程度と見られている）。その意味では、まだ史上最悪の流出事件にはなっていない。ただし、メールアドレスやパスワード情報を基点としてさらに被害が広まる可能性はある。この点は軽視できない。

　すぐに連想するのはスパムだろうが、統計によれば、同じパスワードを複数のサービスに利用しているオンラインユーザーは73％にも上る。したがって、たとえば、私があなたのGメールアドレスとパスワードを組み合わせてメール履歴のアクセスに成功し、メールの内容をつぶさに調べれば、銀行口座や他のショッピングサイトなどのアクセス情報を突き止めることもできるだろう。

　あるいは、そこから友達のメールアドレスを多数入手し、あなたになりすましてメールを送り、「キーロガー」（キーボードの入力信号をモニターするソフトウェア）のようなソフトを相手のコンピュータに埋め込めば、そこからも何らかの金銭関連のアクセス情報を盗み出すことも可能だ。いろいろな被害が派生する可能性が考えられる。

――今回ソニーは「既知の脆弱性」を突かれたと発表している。これは何を意味するのか。

　ソフトウェアの脆弱性が分かっていれば、普通はすぐにパッチ（セキュリティホールが発覚したときに配布される修正プログラム）をあてる。パッチで修復できない脆弱性は非常に稀であり、これがあれば被害が出ることはまずなかっただろう。「既知」であるのに被害が出たということは、パッチをあてるのが遅れたか、あるいはパッチのテストが十分でなかったかのいずれかだ。

　パッチが遅れたのは、担当者が何か他のことで忙しかったからかもしれない。テストが不十分な場合は、他のシステムにも穴のあることが分からずじまいだったということになる。いずれにしても、ソニーの責任は大きい。

――ソニーは今年初めに、ハッカーのジョージ・ホッツ氏を提訴している。プレイステーション３をジェイルブレイク（セキュリティホールを突いてコンピュータ機器に設けられた制限を外し、開発会社らの認可を受けてないソフトウェアを動作可能な状態に）したというのがその理由だ。後に両者は和解するが、それ以前に国際ハッカー集団の「アノニマス」がホッツ擁護に回り、ソニーのサイトを攻撃したことが知られている。そのあとに行われた今回の不正侵入については、アノニマスは組織的関与を否定しているが、一部のメンバーが独自に行った可能性も浮上しているようだ。本当のところはどうなのか。

　アノニマスのチャット（記録）で、ソニーのネットワークの脆弱性の詳細が議論されていたことは確からしい。そして、アノニマスの古参メンバーによると、ほとんどのメンバーたちが反対したにもかかわらず、一部のメンバーが不正侵入の手段に打って出たようだ。アノニマスは非常にゆるい組織で、どんなオペレーションにどう関わるかはその都度、本人が決める。それぞれのオペレーションには、それぞれのリーダーがいる。

――アノニマスはこれまで言論の自由やインターネットの自由に関わる行動を起こしても、カード情報を盗むなどの犯罪行為とは無縁だったように思う。今回の行動は、アノニマスにとって転換点とも言える事件なのだろうか。

　アノニマスがクレジットカード情報を盗み出し、それを売って儲けようとしているならば、確かにこれまでのような政治的活動とはかなり違うものになる。そして、本当にそうしたことが起こると、大部分のメンバーの感情を害することになるだろう。しかし、今のところ、金儲け目的の行動が起こったとは耳にしていない。ある筋によれば、クレジットカード情報を外に漏らす気も売る気もないと主張しているようだ。

――その言葉は信用できるのか。アノニマスの中に犯罪者はいないのか。

　もちろん、完全には信用できない。しかし、かつてアノニマスがHBゲーリー・フェデラル（アノニマスのトップメンバーの身元を突き止め、それを当局に報告するとしたセキュリティー会社）への不正侵入で同社の社内メールや企業秘密を盗み出し、インターネット上で公開したことがあるが、そのときも金儲けに動いた様子はなかった。

――ソニーは不正侵入を知ってから流出の実態を突き止めるまで何日もかかっている。これは遅すぎないか。

　4月17日から19日の間に不正侵入があって、20日にＰＳＮ（「プレイステーション３（ＰＳ３）」向けのオンライン・サービス）を閉鎖しているので、それほど遅くはない。

　また、（パソコン向けにオンラインゲームを運営している）ソニー・オンラインエンタテインメント（ＳＯＥ）への不正侵入が明らかになったのはさらにその後だが、これらは別々のネットワークなので、時間がかかったとしても許せる範囲だ。

　ただし、理解できないのは利用者へのソニーの伝え方だ。ＰＳＮでは当初「停止の原因を調査中」と表現し、まるで外部の侵入によってサービスが停止にいたったかのように伝えていた。ところが、その後ソニー自身がサービスを閉鎖していたことを明らかにした。この二つの表現は相反している。万が一、利用者が何の手立ても打てないその間に個人情報が悪用されたようなことがあったとすれば、ソニーにとっては非常に都合の悪いものになる。また、謝罪するまでに時間がかかったのも、いいことではない。

――ソニーのハッカー世界との対峙の仕方については、どう見ているか。

　ホッツ氏との問題がまだ紛糾していたころ（3月）、ソニーはホッツ氏のサイトにアクセスしたユーザーたちのIPアドレスの公開を連邦地裁に請求し、その後認められたが、このソニーの行為はハッカーコミュニティには「挑発」と受け止められたかもしれない。アノニマスがこれに怒り、重役の子供たちが通う学校名をネットに流すなど、怖いことになった。不必要に挑発的な手段に訴えるのは、間違っている。

――通常、企業ではこうしたハッカー対策を誰が行っているのか。

　CISO（最高情報セキュリティ責任者）だ。ソニーでも事件後、新たにこの職を設けると発表した。

　CISOはたいていCIO（最高情報責任者）直属として配置されるが、最近はCEO（最高経営責任者）や会長の直属になるケースが増えている。情報セキュリティは今や、経営トップが自ら管理すべき事案だからだ。犯罪的なハッカーとの戦いは熾烈さを増しており、どんなに洗練された企業でも不正侵入にやられている。しかも、すべてのケースが公開されているわけではない。

――アノニマス以外にも、ハッカー集団は無数に存在する。彼らの正体はどの程度分かっているのか。

　残念ながら、何も分かっていないも同然の状況だ。個人情報売買の最大の地下市場は旧ソビエト連邦地域にあるが、ハッカーたちは全世界に散らばっている。すべては遠隔に操作可能だから、たとえばエジプトにいるハッカーが、中国のサーバーを経由して、アメリカ人に情報を売ることもできる。さまざまな専門家が協力して行動しているが、ほとんどの場合、お互いに会ったこともない者同士で商売をしている。

――これまで、犯罪的ハッカーが捕まった場合は、どのような経緯でそれが可能になったのか。

　そもそも捕まるケースは非常に稀だ。捕まった場合でも、事件が起こってから何年も後になって、別の犯罪事件で逮捕された人物のコンピュータが取り調べられ、メールの交信から分かったという場合が多い。

　また、ハッカーたちは他人に助けを求める場合がよくある。今回のように流出したのが大量の個人情報ならば、一人でデータをプロセスするのは不可能だろうし、そもそも買い手がいないとお金にならない。そこからほつれが出て、警察やＦＢＩが買い手になりすまして罠をかけるケースもある。

　しかし、問題を複雑にしているのは、国境を越えた起訴の難しさだ。たとえ居場所を突きとめられたとしても、その国が情報を秘密工作活動に利用したいと考えたり、その国の警察が腐敗していたりすると、ハッカーを引き渡さない可能性がある。実例はある。特にアメリカは、ロシアからうまく協力が得られたことがない。もし今回の不法侵入がロシアのハッカーによるものだったら、ソニーにとっては悪いニュースだ。

　いずれにしても、警察やＦＢＩが熱心に取り組み、ラッキーなことにハッカー自身が不注意からヘマをやらかし、さらにラッキーなことにハッカーが住んでいるのが協力的な国だったという三拍子が揃わないと、犯罪者を捕まえることは不可能だ。

――アノニマスの内情が見えてきたことで、実行犯を捕まえるのは、少しは簡単になったのではないのか。

　なっていない。不可能ではないが、依然として難しい。

――今回の事件を機に、アノニマスは組織を見直すことにはならないのか。

　その可能性はある。だが、アノニマスのアノニマスたるゆえんのひとつは、きちんとした組織ではないことだ。いわゆる“リーダー格”のメンバーたちは、個人情報を盗み出そうと指揮をとったことはないと語っており、それは本当のことだろう。個人個人がやったことによってグループ全体が責められるべきではないというのが、彼らが主張するところだ。

　とはいえ、アノニマスの主要メンバーの逮捕はあり得ない話ではない。実際に今年初め、イギリスで何人かが逮捕されている。ただし、彼らがどの程度主要なポジションにいたのかは不明だ。

――ソニーは、自社のネットワークへの不正侵入に関してまだ注意が必要か。

　すべてのサーバーを修正したと思っていても、たったひとつ残っていれば、その穴が裏口になってまた侵入され、さらに情報を盗まれる恐れはある。ただ、今回のことが従来どおりのサイバー犯罪であって金儲けだけが目的ならば、犯人は獲物をすでに手に入れているはずだ。衛星技術や航空機技術などのIP（知的財産）を多数保有する軍事技術関連の開発企業ならば、獲物はまだあるのでさらなる注意が必要だろうが、今回はその心配はないだろう。

　ソニーは、同社のインターネットサービスへのハッカーによる不正侵入で7700万件の個人情報が流出した恐れがある問題で、今月１日に平井一夫同社副社長が会見を開き、これまでの経緯と今後の方針について説明した。

　平井副社長は会見冒頭「利用者の皆様には多大な不安とご迷惑をおかけしていることを、深くおわびする。大変申し訳ございませんでした」と陳謝。同社のゲーム機を使ったオンライン対戦など停止中のサービスの一部を１週間以内に再開し、５月末までに全面再開すると発表した。

　今回の事件は7700万件というあまりにも膨大な個人情報の数に対する驚きと、不正侵入行為に対する興味関心がひとり歩きしているが、じつは家庭用ゲーム業界に与える影響も深刻だ。すでに「短期間に収束は難しく、プラットフォーム選択についての長期的な戦略変更を余儀なくされるかも知れない」（メーカー経営幹部）という声もあり、業界内の緊張も高まっている。

最高情報管理者も暗に認めた、
世界59カ国で遊ばれている割にはずさんな子会社の情報管理

　今回、ハッカーが不正侵入をしたインターネットサービスは、同社の家庭用ゲーム機「プレイステーション（ＰＳ）３」を使った情報サービス「プレイステーション・ネットワーク（ＰＳＮ）」と、世界11カ国で展開中のビデオ・音楽の配信サービス「キュリオシティ(Qriocity)」だ。会見では、高度な技術を持ったサイバーテロ行為であったとし（ハッカーによる漏洩に至るまでの状況は図参照）、すでに米国連邦捜査局に捜査を依頼したことも明らかになっている。

　ＰＳＮに登録されたアカウント数は7700万。このアカウントにひもづいている、氏名、性別、郵便番号および市町村名までの住所、国名、メールアドレス、ＩＤとハッシュ化されたパスワードが漏洩している。ただしここで注意したいのは、この7700万件“アカウント”の意味だ。ソニーによれば、ひとりで複数のアカウントを持っているケースもあり、イコール人数ではないと言う。

　ちなみに、懸案のクレジットカードデータは、ＰＳＮの場合プリペイドカードなどの支払い方法が複数あるために、全アカウント数の7分の１以下である1000万件にとどまっている。また、「他のデータと違い暗号化されていたことと、（ハッカーが）読みにいった形跡がない」（同社最高情報責任者の長谷島眞時業務執行役員シニアバイスプレジデント）ことから、完全に漏洩したとは言い切れないという。

　この件が国際問題化した背景には数の多さもさることながら、ユーザーの居住エリアが広いことも挙げられる。欧米と日本という業界における三大主戦場に加え、中東諸国や東南アジア、南アなど世界59カ国でソニーはユーザーを獲得していた。加えて、米下院エネルギー・商業委員会がソニーに質問状を送った米国に至っては、全アカウントの半数にあたる3700万人の個人情報が漏洩しており、米国民が神経質になるのは仕方がない側面もあった。ちなみに、日本は英国に次いで3番目に多く、742万アカウントが漏洩している。

　今回情報漏洩にいたった二つのネットサービスは、ソニーアメリカの子会社である「ソニー・ネットワークエンタテインメントインターナショナル（ＳＮＥＩ）」が米国内のサーバで管理している。ＳＮＥＩが米国内にあったという点も、米下院の動きを促進させるに十分な理由だろう。平井副社長によると、このＳＮＥＩはソニーグループ内のネットワーク運営管理を行うために、2010年4月に発足したという。

　会見中、長谷島業務執行役員が、今回の漏洩に関してどの脆弱性を狙われたのかを問われた際、「既知の脆弱性によるもの。一般的には知られていることだが、ＳＮＥＩのマネージャーがその脆弱性を認識していなかった」とわざわざＳＮＥＩの能力にまで言及したことは興味深い。グループ全体の最高情報責任者である長谷島業務執行役員としては、今回問われているのはあくまでいち子会社の情報管理能力であることを、エクスキューズしておきたかったのだろうか。

　また、今回の会見で多く挙げられた質問のひとつで、米下院も重視していることに、公式発表に時間がかかりすぎているというものがある。これは、事件発生が20日であるにも関わらず、公式発表が27日だったという時間の流れからきている。しかも、公式発表前日の26日に、アンドロイド3.0搭載の新型情報端末「ソニータブレット」の発表会を行っている。ソニーは漏洩事件発表よりもこの発表会を優先したのではないか、と疑われたのだ。

　これに対して、平井副社長は「26日時点では事件を把握していたが、ユーザーの皆様により精度の高い情報を報告したかったので遅れた」と説明したが、会場には納得できない空気が会見終了まで漂っていたことは言うまでもない。（日時はすべて日本時間）

個人情報漏洩も、遊べない事実も問題
平井副社長はユーザーの“ソニー離れ”を食い止めることができるか

　このように、事実上のおわび記者会見がソニー本社で行われたのであるが、会場にいた筆者は最後まで違和感をぬぐえずにいた。

　もちろん、7700万アカウントにひもついている個人情報が漏れたのは、世間を不安にさせるに十分な問題である。筆者のアカウント情報も漏れたらしいと連絡が来たので、不安でないわけがない。特にＰＳＮに関しては、今までもクレジットカードを使った不正チャージ事件など複数回発生していた。情報管理のずさんさに対する社会的批判は、ある程度甘受すべきだろう。

　だが、本当の被害者はユーザーやソフト開発企業であり、彼らが本当に知りたいのは、暗に使用を控えるよう促すかのごとくの「ソニーのネットサービスはこんなに危険」という話より、漏洩した個人情報の行く末と「今後もＰＳ３やＰＳＰで安全に遊べる（もしくは、ビジネスができる）のか」、ということのはずだ。

　大型連休中、ＰＳ３のサーバにつないで、家でゆっくりとゲームを遊びたいと思っていたユーザーは多いだろう。カプコンの「モンスターハンターＰ３」のユーザーはもちろんのこと、平日仕事に明け暮れる友人は「デモンズソウル」をＰＳ３経由でつないで遊ぼうとしていた。筆者も同様だ。先週「パタポン３」でオンライン対戦デビューしようと、わざわざＰＳＰを新調したくらいなのだから。

　個人情報漏洩はもちろん問題だが、遊べない事実も問題だ。ソニーが、オンライン対戦など停止中のサービスの一部を１週間以内に再開し、５月末までに全面再開すると発表したところで、ゴールデンウィーク中には遊べるわけではない。平井副社長のお詫びが、ユーザーや一緒にＰＳビジネスに協力してくれていたソフトメーカーに対して心理的に伝わってこなかったのは、大変残念だった。もっとも、あの記者会見場の雰囲気ではそれも難しかっただろうが。

　また、お詫びとして、特定のコンテンツの無料ダウンロードと定額制サービスパッケージの30日間無料提供を表明した。お詫びの妥当性はユーザーが決めることだが、「欧米ユーザーの評価は、安全面からも考えてマイクロソフトの家庭用ゲーム機『Ｘｂｏｘ ３６０』に圧倒的に傾いている」と話す業界関係者もおり、ユーザーがソニーから離れる可能性は高い。

　平井副社長もその危機感はあるようで「全社一丸となって、ネットワークに対するユーザーの信頼を勝ち取る」と話していたが、その道程が険しいことは間違いがない。

海外で盛んなＤＬＣビジネスに打撃で、
ソニーとソフトメーカーの力関係に変化あり？

　このように、ユーザー離れに対する懸念も深刻だが、ビジネス面に与える将来的な影響も大きい。ソニーは今冬発売予定の家庭用携帯ゲーム機ＰＳＰの新型機「ＮＧＰ」や、今秋発売予定のソニータブレット、ＰＳ３間のコンテンツ配信サービスに力を入れる方針だ。ＮＧＰ、ソニータブレットとも「発売時期の変更はない」（平井副社長）というが、ネットワークサービスに対する信頼回復ができなければ発売そのものも危うい。原稿冒頭の「プラットフォーム選択についての長期的な戦略変更を余儀なくされるかも知れない」という経営幹部の言葉はこの状況を指している。

　また現状のビジネス面においては、アイテム課金型ビジネスであるダウンロードコンテンツサービス（ＤＬＣ）に与える影響が大きい。日本でのＤＬＣサービスでの成功例は、3億円を売り上げたバンダイナムコゲームスの「アイドルマスター」(Ｘｂｏｘ ３６０用)くらいしかないが、欧米では大変さかんだという。ある大手メーカー幹部も「海外ビッグタイトルだと売上全体の３割以上を占め、たまに５割超えもある」と話す。

　ゲーム市場に詳しい小山友介・芝浦工大准教授（経済学）は、海外事情について次のように解説する。

 「世界有数のソフトメーカーであるエレクトロニック・アーツの決算資料を見ると、確かにＤＬＣを含めたデジタルコンテンツの売上全般は年々伸びているようです。2010年度の売上は570億円に達しており、これは売上全体の27％を占めています。ただし、570億円のうちモバイル、つまりiPhoneなどのスマートフォンの売上が半分程度を占めているようですので、ＤＬＣに関しては約150億円くらいでしょうか」。

　業界関係者によれば、ツイッターに「（ＰＳＮが止まっている間は）売上がない」という海外ソフトメーカー関係と見られる人の悲痛な書き込みがあったそうで、ソニーは彼らからも何らかの補償を迫られるかもしれない。

　欧米市場に詳しい業界人はこの状況について「隙あらばハードメーカーを揺さぶる人が多い業界なので、今回の情報流出事件は彼らに絶好のエサを与えたともいえます。ＰＳＮのシステムだけでなく宣伝協力なども含め、ＳＣＥが全社的にソフトハウスに対して”誠意”を見せ続けることが、当面の間要求されるでしょう。もっとも、ユーザーがソニーを信用できずに離れてしまえば市場もなくなるわけですから、この話もソニー離れが起きないという前提の話ではありますが」と解説する。

　また、小山准教授もこの点について、次のように影響を説明する。

 「確かに、安全性への不信感がぬぐえずに、ダウンロード専売ソフトを創るベンチャー企業が近寄らなくなったりする可能性はあります。また、古いゲームをアーカイブする事業で他のプラットフォーム（iPhoneやＸｂｏｘ）より優先度が落ちてしまうという可能性はあります。長期的には新規タイトルを生んでくれる将来の大デベロッパーが生まれなくなるのが一番痛いかもしれません」。

やり方を間違えれば、ＳＣＥに未来はない
信頼回復へ向けた平井副社長の覚悟が問われる

　今回の事件が発生した背景として、ソニーの組織的な体質を挙げる人もいる。「硬直化した組織、縦割り行政の弊害が最悪の形で露呈した結果。情報開示の遅さ・ヘタさ、まるで東電を見るようです」というが、筆者から言わせれば組織が硬直化してない大企業など業界内に皆無に等しい。

　業界の歴史が30年になろうとしているなか、どの企業も多かれ少なかれ他の業種と同じように組織が疲弊している。それは、ゲーム業界も含めてどの企業も、ソニーのようにならない保証はないということも意味している。

　また、ゲーム業界の場合、個人情報を預かる企業は多い。それだけに、今回のソニーの記者会見を見て「明日は我が身」と話してくれた人もたくさんいた。その気持ちをいつまでも忘れずに、ユーザーの信頼を維持してもらいたいと思う。

　そして、今回の件で誰よりも無念を感じているのは、ＳＣＥ社長も兼務する平井副社長本人であることは、古い業界人なら容易に見当が付くだろう。

　平井副社長は、プレイステーションビジネス黎明期である1995年から10年近く、米国ＳＣＥで汗を流し続けた古参幹部のひとりだ。”カズ(Kaz)”の愛称で知られ、業界内でも「外人以上にガイジン」とからかわれるほど米国に溶け込み、非常に手強いソフトメーカーと渡り合いながら米国市場の礎を作った。それだけに、プレイステーションに対する思い入れは相当だ。

　終始平身低頭だった会見中も「エコシステムをプラットフォームホルダーとして安全に作ることで、ソフトメーカーやユーザーさんに楽しんでいただけている。ハッキング行為はコンテンツクリエイターに対する挑戦であり、ゲーム業界ビジネスのベーシックな部分を壊してしまう。これに関しては厳しく対応していく」とこの時ばかりは語気を強めている。平井副社長の悔しさが伝わってきた瞬間だった。

　だからこそ、ソニーが本当に問題を解決したいのであれば、ＳＣＥの歴史から考えても、平井副社長自身が先頭に立ってやるしかない。平井副社長も「ユーザーの皆様にネットワークサービスに対する信頼をどう寄せていただくかがポイント。信頼をもう一度いただけるようなソニーに持って行きたいと考えている」と信頼回復の重要性を何度も語っていたが、やり方を一歩間違えればＳＣＥに未来はない。

 「今回の対応が悪ければ、３年後くらいには家庭用は任天堂、ハイエンド機はマイクロソフト、ポータブル機は任天堂、アップル、アンドロイド、という時代は極論ですが冗談ではない」（業界関係者）と言う最悪のシナリオは十分あり得るし、もっといえばゲーム業界全体のネットサービスビジネスに対する信頼も落としかねない。その意味で、ソニーの責任は重大だ。

　平井副社長の覚悟がどこまで社員に伝わるか。世界中のユーザーとソフトメーカーが、ソニーの出方を注視している。