Follow Us

  • x
  • facebook

復旧も困難か

PlayStationゲームに300万以上を費やしてきたゲーマー、PSNアカウントを乗っ取られ全て失う

Munenori Taniguchi

Image:Sony Interactive Entertainment

米オハイオ州に住むピート・ウェンツラー氏は、PlayStation Network(PSN)アカウントサービスやゲームの購入に2万ドル(約310万円)以上を費やしてきた。だが、ハッカーにPSNアカウントをハッキングされてすべてがなくなってしまい、ソニーにアカウントの復旧を求めたものの、然るべき対応を受けていないと主張している。

PSNアカウントのハッキング被害のなかでも、近ごろ増加傾向にある攻撃手法のひとつでは、ハッカーがソニーのウェブサイトにあるPlayStation Onlineアシスタントというチャットボットを操作して、標的とするPSNアカウントへのアクセスを許可させるという。

この手法を実行するのに必要なのは、PSNのユーザー名、登録メールアドレス、そして本人の名前だけであり、2段階認証やパスキーを使った保護も回避してしまうため、ユーザー側にできることはほとんどない。ウェンツラー氏はその最新の被害者になってしまったというわけだ。

もし、ハッカーの手元に、ターゲットとするPSNアカウントのクレジットカード番号の最初の4桁と最後の4桁、PlayStation本体のシリアルナンバ-、過去に購入した商品の注文番号があれば、さらにハッキングは容易になるという。

IT情報サイトPCMagは、2023年の購入で付与された注文番号を使ってこの攻撃手法を再現してみたところ、チャットボットはユーザーに古いメールアドレスを確認することもなく、新規メールアドレスへの切替を許可したと伝えている。また、チャットボットに「追加のセキュリティ対策」を無効にする必要があると伝えれば、パスキー保護を無効にすることも可能だった。

これは事実上、ユーザーが気づくきっかけのないまま、PSNアカウントを乗っ取られてしまう可能性があるということだ。アカウントに紐付くメールアドレスも変更されてしまうため、PSNアカウントのパスワードを変更されても、本来のユーザーにはその通知メールすら送られてこない。パスキーも上記の方法で無効化できてしまう。

ウェンツラー氏はハッキング被害を受ける直前に、2FAを登録していたと述べている。同氏がアカウントの異変に気づいたのは、この2FAが不正アクセスにより無効化されたという通知メールが来たときだった。

おそらくソニーが想定しているのは、PSNアカウントに関する情報はそのアカウントの登録者だけが知っているという前提条件だろう。しかし、過去に何らかの理由でハッキングされた人は、それを認識しているか否かにかかわらず、SNSなどインターネット上に個人情報が流出している可能性が高い。ハッカーは豊富な情報を持っており、そのような情報を入手するのは簡単なことだろう。

またPCMagは、PSNのカスタマーサポートの対応が不十分であること、または必要な対応能力を有していない可能性も指摘している。同サイトが接触したハッカーのひとりは、公開されているPSNユーザー名さえわかれば誰のアカウントでも入手できるとし、ソニーがカスタマーサポートをコロンビアにアウトソーシングしていることが問題点だと述べた。

あるアカウント乗っ取りの被害者は、カスタマーサポートが当初はアカウントへのアクセスを復旧するのを支援してくれたが、すぐに再ハッキングを受けてしまった。もう一度復旧を依頼したところ、カスタマーサポートはアカウント復旧支援を拒否するようになったという。

この被害者は、サポートの態度が変わったのは、「(ハッカーが)何らかの方法でサポートの内容を傍受し、その後自らが正当なアカウント所有者だとカスタマーサポートに信じ込ませて、被害者からのサポート要請を無視するよう促した」可能性があると主張している。

ウェンツラー氏は米商事改善協会(BBB:Better Business Bureau)に苦情を申し立てたが、ソニーは同氏に「当該アカウントへのアクセスを支援することはできない」と返答したとのことだ。

ハッカーはその後、ウェンツラー氏に対しSNS上で「アカウントをシェアしよう」などと述べ、同氏を嘲笑するような行動をとっている。ハッカーは、同氏がPSNで様々なトロフィーを獲得していることについて「自分もトロフィーハンターだが、アメリカには住んでいない」とし、「タイムゾーンが全く違うから、君が寝ている間にこのアカウントを使ってトロフィーハンティングを協力できる」と述べた。

また、このハッカーは大胆にもPlayStationのカスタマーサービスになりすましてウェンツラー氏に電話をかけ、クレジットカード番号やPlayStationのシリアルナンバーなど、さらなる個人情報を聞き出そうと試みたとのことだ。その後、ウェンツラー氏のアカウントは凍結された状態になったという。

ウェンツラー氏は現在、ソニーに対する法的措置を検討している。だが、PSNの利用規約にはユーザーが集団訴訟を起こす権利を放棄することに同意しなければならないという項目があり、同氏がコンタクトをとった弁護士はいずれも、個人での訴訟に後ろ向きの態度を示している。

ハッカーが述べているように、いくつかの情報さえわかれば、チャットボット操作でユーザーアカウントを乗っ取り放題な状況であるなら、ソニーはすみやかにカスタマーサポートのチャットボットを再教育して最低限の保護策を機能させる必要があるはずだ。だが、同社はPCMagの問い合わせに対して「係争中の法的事項についてはコメントしない」と述べたとのことだ。

関連キーワード:

Gadget Gate Copyright ©Ongen Publishing Co., ltd. All rights reserved.