IT Pro のアーティクル "Microsoft,「Xbox」サポート担当者のミスを認める" によれば、先週来情報の出ていた Xbox LIVE におけるアカウントの盗用などのトラブルは一種のソーシャルエンジニアリング攻撃だった模様。具体的には以下のような手順であったとされる。
- サポートに電話をかけ攻撃対象のユーザの肉親などを装い、個人情報を収集
- 収集した個人情報に基づき、Xbox LIVE のパスワードと Windows Live ID をリセット
この件に関して、所謂狭義のセキュリティ問題、つまりサーバなどのセキュリティが破られたと決め付ける Web log もあったようだが、少なくともそれを肯定できるだけの客観的な情報は無いように見受けられる。クレジットカードの盗用があったとされる件にしても、先にクレジットカードの番号を盗み、それによってアカウントのリセットを行ったとも考えられるため、それだけで所謂、インターネット上からの攻撃があったと結論するのは早計であると考える。
例えば、ソーシャルエンジニアリングでメールアドレスを聞き出し (さすがに、いくらガイドラインから逸脱した処理をしたサポートの人員がいてもカード番号を喋りはしないだろう)。 しかる後に、そのメールアドレスに対しフィッシング活動をしたとも考えられる。その上で、盗用したクレジットカードの使用を LIVE アカウントの盗用後に時間を置いて行えば、被害者の視点では LIVE から漏れたように見えるであろう。
コメントする