1人2問までと言っていたので、2つ考えてみた。

昨日の SCE会見で聞いてみたかったこと、感じたこと - セキュリティは楽しいかね？ Part 1

こちらに触発されて、私も2問考えてみました。

1. パスワードはハッシュ化されていたとのことですが、ハッシュ解読を困難にするために必要なソルトやストレッチングなどの対策は取られていたのでしょうか？取られていないのであれば、MD5やSHA-1でのハッシュであればレインボーテーブルによる攻撃で多くのパスワードが解読された可能性がありますよね。
2. クレジットカード番号は暗号化されていたとのことですが、1つ1つの番号自体が暗号化され保存されていたのか、DBに保存する際に暗号化し、Webアプリから呼び出すときには復号する透過的な暗号化だったのかどちらでしょうか？後者であればSQLインジェクションで漏えいする可能性がありますよね。

• Sony Japan | ニュースリリース | PlayStation® NetworkおよびQriocity™（キュリオシティ）への不正アクセスに関する現状と今後の対応について
• Sony Corp.　PlayStation(R)Network / Qriocity(TM)への不正アクセスに関する説明会
• ソニーPSN漏えい事件、パスワードはハッシュ化、具体的な脆弱性は非公開（ソニー）｜ScanNetSecurity