米Microsoftは3月第4週,オンライン・サービス「Xbox Live」に関するセキュリティ問題のうわさを素早く否定したのに対し,真実の公表にはやや長い時間を要した。Xbox Liveに技術的な問題はなかったが,「Xbox」のサポート担当者は,電話で問い合わせてきた人物の身元をきちんと確認することなく,ユーザーの個人情報を教えていたようだ。つまり悪意を持った人物が,昔懐かしいソーシャル・エンジニアリングの手口を使い,Xbox Liveアカウントの機能停止を実現していた。

 Microsoftのサポート担当者がうっかり個人情報を漏らしていたとの疑いは,オンライン・セキュリティ・フォーラムSecurityFocusで3月第4週に初めて上がった。同フォーラムによると,悪意を持ったXboxユーザーたちが「Xbox Liveアカウントなど簡単に盗める」と,ネット上で自慢していたそうだ。

 あるグループは「1-800-4my-xboxに電話をかけて攻撃対象ユーザーを装い,『弟がXbox Liveアカウントに情報を入力したのだけど,全部でたらめだったんだ』という話をでっち上げろ」という文章を,あるオンライン・フォーラムに投稿した。「1回の問い合わせ電話では,小さな情報しか入手できない。しかし何度も何度も電話を繰り返しかければ,毎回少しずつ新しい情報が手に入る。情報の量が十分になったら,(Xbox Liveアカウントの)パスワードとWindows Live IDをリセットできる」(投稿文)

 Microsoftは現在この問題を調査中としており,同社のXbox Liveプログラミング担当ディレクタであるLarry Hyrb氏のブログに,取り組み内容を説明する声明を掲載した。「こうした攻撃を減らすために,われわれは(サポート運用手順に)大がかりな全面的変更を加えていく。起こるはずのない問題だった。今後,運用ポリシーを守らなかった担当者には,当然ポリシーを再教育する必要がある」(Hyrb氏のブログ記事)

 1日で10件以上のアカウントが盗まれたという主張に対して,Microsoftは「機能停止されたXbox Liveはごくわずか」と述べる。Microsoftは事前のスケジュール通り3月20日にXbox Liveのサービスを止めたが,「アカウント窃盗とは無関係」としている。

 ところで,新たに登場するハイエンド版「Xbox 360」のうわさに,訂正が必要なようだ。「Microsoftが,より大容量のハード・ディスク装置,高精細テレビ(HDTV)互換HDMIコネクタ,1月に初めて発表したIPテレビ(IPTV)機能を搭載する価格479ドルの新モデルを間もなく発表する」という情報が複数ある。Xbox 360の新モデルはしばらく前から期待されており,Microsoftは1月にIPTVを持ち出して「年内に新モデルが登場する」とのうわさをあおった。