http://wiredvision.jp/news/201105/2011050218.html

ウクライナやロシアに多いサイバー泥棒は、データベースを知り尽くしている(SQLで夢を見るほどだ)。規模は小さいが今回のものと同じような盗まれたデータベースは、カード情報悪用者のフォーラムで日常的にひそかに売買されている。

このシナリオの場合、今回のハッキングで盗まれた恐れのあるクレジットカード番号は、実はそれほど重要ではない。ソニーによると、カードの裏面にあるセキュリティコード『CVV2』[クレジットカード番号とは別のセキュリティコード]は、障害の出たデータベースには保存されていなかった。これにより、詐欺師からすると、カードの有用性が大幅に低下する。磁気ストライプのデータやCVV2がないクレジットカードは、商品価値が最低の部類に入るのだ。

しかし、ほかのデータと組み合わさることで、このデータベースは価値があるものになる。別のシステムでも同じパスワードを使う人が多いため、今回はパスワードが宝の山になる恐れがある(ソニーはハッシュ化を怠っていたようだ)。PlayStation Networkの7700万件という膨大な数のパスワードによって、『Facebook』のアカウントからネットバンキングまで、あらゆるものが解除される可能性があるのだ。

また、電子メールのアドレスが、フィッシング攻撃に利用される恐れがある。誕生日などの盗まれた情報を利用すると、反応を得られる可能性が高くなる。スパム用のリストとして売るだけでも、今回のデータベースはかなりのお金になるだろう。

ソニーから流出した個人情報にクレジットカード情報が含まれていなかったとしても利用価値があるという話。