Xbox Live(Windows Live)アカウントハックされた記録

年明けあたりからぽつぽつとニュースになっていた、Xbox Liveのアカウントハック。
ここのところ、PSN、スクエニメンバーズ、去年のXboxのハック騒ぎと続いていて、被害がなかったので、警戒が緩んでたところにやられました。

以下ハックからアカウント復旧までの経過。

1/16(月)夜:
Liveに紐づいているメールアドレスに、「Liveアカウントに○○.comっていうアドレスを追加するよ、許可するならこちら、拒否するならこちら」(英語)というメール着信。もちろん知らないアドレス。

着信時点では、このメール自体をフィッシング詐欺かと疑っていて、許可、拒否のリンクともクリックせず。

1/17(火)朝:
ちょっと気になって、リンクの頭のアドレスだけ切り取ってアクセスしてみると、Windows Liveの公式につながる。どうしたものか(会社行かなきゃいけないし)と思いつつ、ふと見ると、2000ポイント以上あったMSPの残高が30に。血の気が引く。
詳しく確認してみると、「プレミアムゴールドジャンボ」「ゴールドパック」なる有料コンテンツの購入記録。これで2000MSP使用されていた模様。これは「FIFA 2012」というゲームの追加コンテンツで、実績も2つ解除されてました。

とりあえず登録メールアドレスとパスワードを変更し、メールサポートに連絡して出社。遅刻する。

1/17(火)夕方:
メールの返信着。メールでは個人情報を聞けないので、電話サポートに連絡ほしいとの由。

XBoxサポートが18時までなので、電話できるタイミングを見計らって17時過ぎに電話。10分以上待たされてやっとつながる。
事情を話したものの、サポート終了間際ということで、手続きは翌日ということに。
(この日に限らず、最初につながるサポート担当はほとんど専門知識がないスタッフ。それにしてもこの日の相手はこちらの名前や連絡先を聞かずに電話切ろうとするなど、ボンクラめいたアトモスフィアを漂わせてたのだけど)

1/18(水)昼:
昼休みに電話着信。事情を再び説明。
ここで必要になったのが、本体のシリアルNo.とメール問い合わせのNo.。
メールはその場で確認できたけど、シリアルは出先で確認できないと伝えると、修理歴はあるかとの事。
ちょうど良くというかなんと言うか、2009年8月にE74エラーが出て修理に出していたので、それと個人情報をあわせて、シリアルNo.判明。
ここで具体的なアカウント調査開始。
調査にはアカウントをロックする必要があり、最大3週間程度Xbox Liveが使えなくなる、とスタッフ。
いい訳はないけど仕方ないということでアカウントはロック。

ここでちょっと気になったのが、「警察には届けましたか?」という質問。
何でもこの件に関しては、マイクロソフトからは警察に届出ができない(ちょっとニュアンス違うかも)ということで、必要ならユーザー側からしてほしいとの事。
MSだってハック被害受けてるんだし、被害届出せない訳はないと思うんだけど。
時間が押してたので突っ込まなかったけど、表沙汰にしたくないということなのかしらん。

あ、それからここでLive登録のものとは別のメールアドレスを用意する必要があります(メールに書いてありましたが)。

1/21(土)夕方:
ぼんやりしてたらメール着信。
これがまたトラブって、アカウント復旧のメールよりも前に、「パスワードリセットするように操作したか?」というメールが来て、またハックかと(アドレス確認してから)拒否操作をしたら、直後に「アカウント調査終わったからリセットメールでリセットすれ」というメール。
さっきのメールでリセット設定しようとしたけど、すでに拒否しているのでハネられて、通常のリセット画面へ。
で、手続きしようとしたら、「手続きしたことをこのアドレスに知らせるよ」というあて先リストの中に、最初に来た「○○.com」が。どうやら最初ので手続きされてたっぽい。

ここでもう一度電話サポートに連絡。
15分以上待たされて、一次サポートにつながるも、分からんから専門スタッフが折り返すということになり、さらに1時間待機。この時点で18時を回って焦るが、18時過ぎに折り返し電話。
もう一度事情を説明して、リセットメールを送ってもらい、無事パスワード再設定。ついでに登録されてたアドレスも削除。

というわけで、3週間を覚悟してましたが、6日で解決しました。
使われてたMSPも無事戻ってきて(というか、追加コード2000MSP分を送ってきた)、使えない間のゴールドメンバーシップも1ヶ月延長コードで保障。このあたりは修理のときと同じ対応ですね。

調べてみたら、例のFIFA12は追加コンテンツ形式で選手を買って、それをユーザー間トレードの際にRMTできるという仕組みがあるみたいですね。
フルプライスのゲームにガチャ的な追加金を課す上に、RMTしてくださいといわんばかりのシステムにして、案の定ハックの標的にされるということをしでかしてくれたEAには、ちょっといい印象をもてなくなりましたね……。

ともかく一件落着となった今回の件ですが、Xbox Liveアカウントをお持ちの方はホント気をつけてください。
実害もそうですが、精神的な被害も大きいですので。
あと電話の待ち時間が最高にイライラする。

ハック方法などは判明していないようですが、おそらくブルートフォース攻撃だろうということで、気をつけたいポイントとしては、

・Xbox(Windows) Liveユーザー名と同じ(似た)メールアドレス、パスワードを使用しない
・メールアドレス、パスワードはなるべく長く複雑なものを使用する
・MSPを余らせておかない、カード情報も可能なら登録しない
・自宅以外の本体で接続する際はパスワードを要求するように設定する(本体設定の「設定>アカウント>アカウント情報>サインイン時のパスワード>他の本体」
・Xbox(Windows) Live IDを入力する外部サービス(raptrとかiOSアプリとか)は使用しない

などでしょうか。今回の件の場合、カードは使われていなかったので大丈夫でしたが、MSPは保護する仕組みがないので一発でアウトですし。

他に狙われそうなのはiTunesのアカウントとかですかね。こっちも気をつけねば。