そらまめのつぶやき

2012年08月03日（金）

「Xbox公式のセキュリティ向上」

　7月に入ってから、所謂「FIFAられ」とも言うべき、Xbox 360のアカウントがハックされて『FIFA12』の選手カードパック（消耗品DLC）を購入される被害が見受けられなくなりました。（※8月9日訂正：何件かありました）

筆者は気づいていませんでしたが、今日Xbox公式サイトにアクセスする際、わざとパスワードを何度も間違えてみました。大体8～10回くらいだったでしょうか？

そしたら、今までとシーケンスが変わっているではありませんか。今までは「CAPTCHA」と言われる画像文字認証を入力するように求められましたが、これがキャンセル出来るのがセキュリティホールではないかと指摘されていました。

ところが、今日試したところ、アカウントが図のようにブロックされました。

ついにMSがサインインシーケンスを変更したのです！（※追記２参照。結局同じ挙動っぽい。変わってないかも）

ここで「パスワードのリセット」を行ってみました。

今回「パスワードを忘れた」の手順を紹介します。「誰かが使っている」場合の手順を紹介する方が適切かも知れませんが、ひょっとしたらマイクロソフトがこの手順をフィードバックしているかもしれないので、敢えての選択です。

まず、今回ブロック対象になったMicrosoft アカウント（旧Windows Live ID）を欄に入力し、次にCAPTCHA（画像文字認証）を正確に入力します。（次へ）

リセットを行うには、登録しているメールアドレス宛にリセットページのURIを記載したメールを送信する方法と、登録している携帯電話のメールアドレスにリセットコードを送信する方法が選択出来ます。ここでは携帯電話宛にしてみました。

あたらしいパスワードと、その確認のためもう一度入力と、2度あたらしいパスワードを欄に埋めます。なるべく大文字小文字英字、数字、記号を混ぜて長めにしておきましょう。限界はどのくらいかまでは検証していませんが、ウチは16文字にしました。「パスワードを72日おきに変更する」オプションは随意に。

最後に、セキュリティ情報が最新か確認します。「信頼済み PC」の欄には、Internet ExplorerとWindows Live Essentialsを使ってサインイン可能なPCを登録出来るようです。ひょっとしたら、秋のXbox 360大アップデートで導入されるXbox 360用Internet Explorerは、この項目に対応するかも知れませんね。本当に自分のXbox 360本体だけを信頼する端末として登録する…とか？

最後に、Microsoft アカウントのページが出来ています。購入履歴やセキュリティ設定など、一元管理出来るHUBです。

ここには、失効するMSPについて記載されています。Microsoftから補填されたMSPには有効期限が付いています（MSはその事を知らせてくれませんが）。Facebookで東西合戦でもらった1000MSPもひょっとしたら期限がついているかも知れません。MSからもらったMSPは一応ココで期限を確認しましょう（ウチは西軍だったのでもらってません）

Microsoftがアカウントハックに対してようやく本気で対策をしたのは賞賛に値しますが、これまでアカウントハックが無かったかのように極秘に対策していたのには些か不満があります。Windows 8のリリースやXbox 360の大アップデートを間近に控えているので「Microsoft アカウント HUB」はその時期に正式にリリースという形なのかも知れません（現在はβ扱い）。

EAも秋に『FIFA13』を発売しますし、今回のMSのアカウントセキュリティ強化で「FIFAられる」事が無くなる事を祈って。

ツイート