(1) いわゆるソニー事件について

メディア等でも「ソニー事件」と一括りに語られることがあるのですが、少なくとも以下の 3つくらいには分けて捉えるべきだと考えます。

1. Anonymousによる DDoSなどの攻撃 (#OpSony, #SonyRecon) (4/3 - 4/16)
2. PSN/SOEからの個人情報漏洩 (4/16 - 4/19)
3. Idahcや LulzSecによる関連企業への攻撃、情報漏洩 (5/5 - 7/5)

1番目については、オペレーションは一般に公開されていたし、Anonymousがやったことで間違いありません。IRCログのいくつかはまだ Pastebinでも見れるようです*3。(こちらの過去記事も参照のこと。)

2番目についてはメディア等で多数報道されているのでここではあまり述べませんが、情報漏洩に関してはまだ誰がやったのかわかっていません。Sonyが 5/1の記者会見の場で、Anonymousからの DDoS攻撃に対応していたことを強調したため、情報漏洩も Anonymousの犯行であると思われているところがありますが、少なくとも現時点においてはこれは誤解です。また米議会向けに Sonyが提出した文書から、SOEに侵入した攻撃者が "We are Legion."と書かれた Anonymousという名前のファイルを残していったことがわかっています。しかしこれも過去の Anonymousのやり方を考えると、Anonymous自身がやったというより、捜査を混乱させる目的で攻撃者がわざと残したと考えるほうが自然だと思います。もちろん Anonymousがやった可能性もあります。

3番目については、種々雑多な攻撃が含まれていますが、1,2番目の攻撃との直接の関係はおそらくないと思います。(こちらの過去記事も参照のこと。)

これらは行為の主体、動機、手法などみなバラバラな事件の集りなので、まとめて語ってしまうのはやや無理があります。「ソニー事件」について語る場合には、具体的になんの事件についての話なのか、ポイントを絞るべきだと思います。

(2) PSNへの侵入方法について

Sonyは 5/1の記者会見において、「(Web)アプリケーションサーバの既知の脆弱性を突かれた」と述べるにとどまり、その後も侵入方法の詳細については明らかにしていません。ただし該当する条件にあてはまる脆弱性はそれほどないため、セキュリティ業界関係者の間では Apache Struts2の脆弱性 (CVE-2010-1870)が悪用されたのではないかと推測されています。

これは個人的な意見ですが、今後の教訓として生かすためにも、Sonyさんには侵入の詳細についてぜひ明らかにしていただきたいと思います。それほど高度な攻撃が行われたとは思えませんし、新たな攻撃を助長するとは思えないのですが。むしろ攻撃方法を知ることは適切な防御策を講じるために非常に有効です。無理でしょうかね。

(3) PSNのサーバで稼動していたソフトウェアのバージョンについて

昨日のパネルでも「OpenSSHのバージョンが古すぎた」という発言がありました。これはポートスキャンで得られたバナー情報にもとづくものだと思います。しかしバナーが実際のバージョンを反映しているかどうかはサーバの環境に依存します。バナーだけを見て「バージョンが古い」と決めつけることはできません。したがって、実際に稼動していたソフトウェアのバージョンが本当に古かったのかどうかは、Sonyさんが明らかにしない限りわかりません。ただし、アプリケーションサーバ「だけ」に既知の脆弱性が残っていたとは考えにくいので、他のサーバにもやはり脆弱性は存在していたのではないかと私は考えています。(こちらの過去記事も参照のこと。)

(4) 内部犯行説について

PSN/SOEからの情報漏洩に関して、内部犯行または内部に協力者がいたのではないか、という話がありました。これは SOEが漏洩事件の起こる約2週間前に NOC(Network Operations Center)のスタッフを含む人員整理を行ったという事実にもどづく推測です。私もこれは大いにありうる話だと考えていますが、真相は今のところ不明です。

(関連記事)
Sony laid off employees before data breach- lawsuit | Reuters
Lawsuit: Sony laid off security staff, unprepared for PS3 hacks | Ars Technica
Usave Compare and Save Online - usave.co.uk

(5) そして Anonymousについて…

Anonymousについては「ハッカー集団」として語られることが多く、私自身も面倒なときにはそう説明することもあります。昨日のパネルのような短時間では到底説明は無理だと思いますが、実際の Anonymousは非常に複雑で私にもよくわかりません。ただ、少なくともいくつか言えることはあると思います。

• 「ハッカー」と呼べるのは全体の中ではおそらく非常に少数であること(仮に Anonymousが世界中に1万人いたとしても、そのうち数十人程度*4 )
• DDoS攻撃や情報漏洩を起こしているのは主に AnonOpsの人達で、それとは無関係に活動している Anonymousも多数いること (たとえば反サイエントロジーを掲げる AnonNetなどはその代表)
• 元々いろいろな人が Anonymousにはいたが、最近の AntiSecのムーブメントによってさらに混沌としており、もはや「Anonymousとはこういう人達」と一括りで語ることは難しくなりつつあること

Anonymousの一人である @AnonyOpsは「多くの人々は Anonymousのことを得体の知れない謎のハッカー集団だと考えているが、(今の) Anonymousは得体の知れないハッカー集団の集団である。」と最近語っています。Anonymousの中の人(特に古くからの人)も現状にはいろいろと困惑している様子が見られます。

(DDoS攻撃について)
Anonymousは Operation Payback以降、組織的な DDoS攻撃を数多く行っていますが、街頭での平和的なデモ活動と同種の行為であり、正当なものだと主張しています。Richard Stallman氏も同様の意見をお持ちのようです。
http://journal.mycom.co.jp/articles/2011/02/07/anonymous/index.html
The Anonymous WikiLeaks protests are a mass demo against control | Richard Stallman | Opinion | The Guardian

(LulzSecおよび AntiSecについて)
LulzSecについては、彼ら自身の発言やリークされたIRCログの内容などから、元々3-4人のコアメンバーから始まり、最終的には 6人のメンバーによるグループであったことがわかっています。彼らはいずれも Anonymousで HBGary Federalへの侵入事件を主導したメンバーです。Anonymousとは別の活動としてスタートしたものの、最終的には Anonymousとの共闘作戦 Operation Anti-Security (#AntiSec)を宣言したあとに LulzSecとしての活動を終了してしまい、メンバーはその後は Anonymousとして活動を継続しています。(LulzSecの活動については別記事を参照のこと。Part1、Part2、Part3、Part4まであるよ！)

現在の AntiSecのムーブメントは彼らが意図したものですが、個人情報を漏洩させる手法には批判も多く、活動への支持が得られているかというとやや疑問もあります。その一方で活動に賛同する人達も多くいて、世界中で多数のサイト(主に政府系)が攻撃にあう状況が現在も継続しています。
Who Is LulzSec? | PCMag.com

ざっと気になったところはこんな感じです。「どう理解されるべき」で「どう対応すべき」かについては、継続して検討していかないといけませんね。