Xbox Liveアカウント盗難問題の真相を聞く

　Microsoftはまだ、カスタマーサービスの担当者が、Xbox Liveアカウントを乗っ取ろうとするハッカーをどれくらい手助けてしまったのか、特定できていない。

　同社はXbox Liveのカスタマーサービス窓口である1-800-4MY-XBOXに答えるスタッフの一部が、いわゆるゲーマータグを実際には所有しない人々の求めに応じて、アカウントのパスワードをリセットしたことを認めている。

　この問題は3月19日の週に、Xbox Liveサービスから締め出されて苛立ったユーザーが、電話窓口への通話記録をサイトに投稿して広く注目を集めた。Microsoftははじめ、セキュリティが侵害された証拠は見つからなかったと発表し、被害者は攻撃者にだまされて、情報を知らせてしまった可能性が高いと述べた。しかし、同社はその後、スタッフの再教育を含む顧客サービスプロセスの見直しを行うと発表した。

　Xbox LiveチームのディレクターであるLarry Hryb氏とMicrosoftのセキュリティ技術ユニットのシニアプロダクトマネージャーであるStephen Toulouse氏はCNET News.comに対し、何が起こったか、同社が将来のアカウント乗っ取りを防ぐために何をしているかについて話した。

（Xbox Liveは3月27日にメンテナンスのため停止した。この停止は何カ月も前にアップグレードのために計画されたもので、今回のセキュリティ問題とは関係がないと同社は述べている）

――何が起こったのですか。

Hryb氏：われわれが初めにXbox Liveネットワークがハイジャックされていることを聞いたのは3月19日の週の始めで、これはわれわれのチームの注意を大きく引きました。われわれのネットワーク技術者はすぐに調査を行い、技術的には問題はないことが分かりました。

――もしシステムのセキュリティが破られていなかったとすれば、アカウントはどうやって乗っ取られたのですか。

Hryb氏：一部のアカウントは、わが社のサポートセンターへのプリテキスティングの結果、破られた可能性があることが分かりました。

――「プリテキスティング」というのはどういう意味ですか。

Hryb氏：ソーシャルエンジニアリングのことを意味します。基本的に、悪意をもつ者が電話で、別の人になりすまします。彼らは個人情報やなんらかの種類の情報を入手して、サポート部門にソーシャルエンジニアリングを仕掛け、本来であれば明らかにされてはいけない情報を引き出すのです。

――その結果、Xbox Liveユーザーに何が起こったのですか。

Hryb氏：少数のアカウントが破られました。このことにより、悪者がユーザーのゲーマータグを得て、そのユーザーの振りをしてオンライン上でプレイできるようになってしまったのです。その結果、そのユーザーはそのアカウントにアクセスできなくなりました。さらに彼らはわれわれに連絡をし、アカウントの権限を取り戻さなくてはなりませんでした。

――一部の人は、Xbox Live上の仮想通貨である「ポイント」を購入され、彼らのクレジットカードに請求されていると主張しています。これはどのように起こったのですか。

Hryb氏：Xbox Liveマーケットプレースは活気のあるオンライン空間です。北米では、われわれは高精細動画やテレビ番組、ゲームコンテンツなどを販売しています。もしアカウントにクレジットカードが登録されていればポイントを購入できますが、これには上限があります。また、ポイントを利用できるのはXbox Liveマーケットプレースの中だけです。Amazon.comへ行ってどんどん購入するというようなことはできません。これは非常に厳重なシステムで、できることはコンテンツのダウンロードだけです。ポイントは1つのアカウントに縛られており、他のアカウントにポイントを移すことはできません。