被害にあったのはXbox LIVEでAmbassadorゲーマータグを持つ米国ユーザーのSusan Tさんで、Tumblrのページに投稿された長文の報告内容によると、何者かがアカウントに不正ログインを行い、合計10,000マイクロソフトポイントと“ゴールドファミリーパック”をPayPal経由で購入、2012年1月2日に214.97ドル分の請求明細が突然メールで送られてきたため非常に驚いたそうです。
Susan TさんはすぐにMicrosoftのサポートに電話で問い合わせ、アカウントを一時的に凍結して調査を行うと返答があったそうですが、その翌日にまたしても10,000マイクロソフトポイント(124.98ドル)の購入通知メールが届き、再びMicrosoftに電話すると、「あなたのアカウントをブロックできませんでした、あなたはログインし続ける必要があります」との回答が。
その後Susan Tさんは、Xboxサポートの公式Twitterにも事情を説明するなどして対応を待つかたわら、1月5日の午後、Microsoftから提供された仮アカウントを登録するためにXbox 360本体を起動。すると、停止されたはずのアカウントでログイン可能な上に、不正に購入されたマイクロソフトポイントの転送先として指定されていた別のユーザーが、フレンドとしてオンライン状態であることに気付いたそうです。
Susan Tさんがメッセージを送ってアカウントの入手先をたずねると、この人物はこころよく質問に応じ、TradeTang.comという中国のオークションサイトで、ポーランドの別のサイトで見つけた仲介人を通して購入したのだと告白。これらの情報から、以下のような手口でゲーマータグの不正売買が行われているとSusan Tさんは指摘しています。
1. 何らかの方法でアカウントのユーザー名やパスワードを盗む
2. 盗んだアカウントでゴールドファミリーパックを購入
3. 盗んだアカウントでマイクロソフトポイントを購入
4. ファミリーパックで複数の新規アカウントを作成
5. マイクロソフトポイントを新規作成したファミリーアカウントに転送
6. それらポイント付きのアカウントを定価よりも安く第三者に売却
1月6日、別のMicrosoft担当者から連絡を受けたSusan Tさんは、アカウントの凍結や新規Windows Live IDへのデータ移行などを無事済ませ、盗まれた金額もただちに返済されたそうですが、Microsoftのセキュリティーや対応に不備があったとして同じような被害者の声を募っています。
一方、Microsoft広報からもこの件に関して声明が発表、それによると今回の事件はインターネット上の多くのサービスが影響を受けている悪質な詐欺(Scam)の一種で、Xbox Liveサービス上のセキュリティーには侵害のなかったことが確認できたとのこと。
海外サイトでは先日も『FIFA 12』のDLCを発端としたXbox LIVEのアカウント盗難が問題となっており、今回の事件も含め、これらがハッキングによる被害なのかそれともフィッシング詐欺によるものなのか、その定義がユーザー間で議論されているようです。
