マイクロソフトは、Xbox 360ゲーム機がハードドライブにクレジットカード番号を恒久的に保存し、カード所有者に潜在的なセキュリティ上の脆弱性をもたらす可能性があるという研究者の調査結果を調査している。
「研究者らの主張について徹底的な調査を行っている」とマイクロソフトのインタラクティブ・エンターテインメント事業セキュリティ担当ゼネラルマネージャー、ジム・アルコーブ氏はジョイスティックに掲載された声明で述べた。
「問題のコンソールを調査するために必要な情報を要求したが、研究者の主張を再現するために必要な情報をまだ受け取っていない」と彼は付け加えた。
このセキュリティ上の欠陥は、ドレクセル大学とダコタ州立大学の研究者によって発見されました。研究チームは再生品のXboxを購入し、一般に入手可能なソフトウェアツールを使用してゲーム機のファイルシステムに侵入しました。研究者たちはかなりの労力を費やしましたが、最終的にXboxの元の所有者のクレジットカード情報を入手することに成功しました。
「マイクロソフトは自社の専有情報の保護には万全を期しているが、ユーザーのデータの保護については十分とは言えない」と、この脆弱性の発見に貢献した研究者のアシュリー・ポドラドスキー氏はゲームウェブサイトKotakuに語った。
ドレクセル大学のロブ・ドビディオ氏とシンディ・ケイシー氏、およびダコタ州立大学のパット・エンゲブレットソン氏を含む研究者らは昨年8月に研究結果を発表したが、マイクロソフト社がこの問題に対して行動を起こしたのは、彼らの研究についての記事が先週インターネット上に現れ始めた後のことだった。
マイクロソフトは研究者らの調査結果を軽視した。「Xboxはクレジットカード情報を本体にローカルに保存するように設計されていないため、今回のような方法でクレジットカード情報が復元された可能性は低い」とアルコーブ氏は述べた。
「さらに」と彼は続けた。「マイクロソフトが中古ゲーム機を再生する際には、ローカルハードドライブに保存されているその他のユーザーデータを消去するプロセスを導入しています。Xboxユーザーの皆様には、個人データのプライバシーとセキュリティを非常に重視していることをお約束します。」
研究者たちは研究結果の要約の中で、PCと同様にゲーム機も個人情報窃盗対策として適切なサニタイズ処理が必要だと説明している。「個人情報が保存されているコンピューターを、何らかのサニタイズ処理を施さずに捨てることはできません。ゲーム機も例外ではありません」と研究者たちは記している。「単にゲーム機を『工場出荷時の状態』に戻すだけでは、問題は解決しません」
「この研究論文の著者らは、使用済みのゲーム機を適切な消毒方法なしに不適切に廃棄すると、意図せず個人データが漏洩し、個人情報の盗難につながる可能性があることを、ゲーム愛好家、研究者、実務者に認識してもらうことを目指している」と付け加えた。
古い Xbox を廃棄する場合、研究者は、コンソールから HDD を物理的に取り外し、ドライブ上でソフトウェア サニタイザーを実行することを推奨しています。
ツールを選ぶ際には、パスだけでなく、書き込みフィルのパターンを重視するものを選ぶことが重要だと彼らは付け加えた。「これは、スラック領域や未割り当て領域を確実に上書きするために不可欠です」と彼らは書いている。
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください。
