2段階認証でも守れなかった Xboxアカウント乗っ取り、Microsoftが敗訴 のサムネイル
INTRUSION / 不正アクセス 重要度 中 2026-07-12

2段階認証でも守れなかった Xboxアカウント乗っ取り、Microsoftが敗訴

⏱ 約 2 分 view 5 like 0 LOG_DATE:2026-07-12

2段階認証(2FA)を設定していたはずのXboxアカウントが何者かに乗っ取られ、Microsoftのサポートからは「復旧不可能なので、購入済みのゲームはすべて再購入してほしい」と告げられた——。この対応に納得できなかったブラジルのゲーマー「Ordo_Liberal」氏が2026年4月の被害後にMicrosoftを提訴し、7月10日に勝訴した。裁判所はMicrosoftに15日以内のアカウント復旧と、約400ドルの賠償を命じている。

1. アカウント乗っ取り
2FA設定済みのMicrosoftアカウントが2026年4月に何者かに侵害され、セキュリティ情報(電話番号やメールなど)が書き換えられた。
2. サポートが復旧拒否
Microsoftは「セキュリティ情報が変更済みのため復旧支援ができない」として、購入済みタイトルの再購入を提案した。
3. 提訴
被害者はブラジルの少額訴訟制度を利用し、弁護士費用なしでMicrosoftを提訴。Microsoft側は12人の弁護士を投入して争った。
4. 判決
裁判所はアカウントとライブラリの復旧、および慰謝料の支払いをMicrosoftに命じた。
Xboxアカウント乗っ取り事件の経緯を示すフロー図
乗っ取りから復旧拒否、提訴、勝訴までの流れ

この事件が浮き彫りにするのは「2FAは乗っ取りを防ぐ最後の壁ではない」という現実だ。攻撃者がパスワードリセットやセキュリティ情報の変更フローを突破できれば、2FA自体は無力化される。にもかかわらず多くのプラットフォームは、いったんセキュリティ情報が書き換わったアカウントを「本人による正規の変更」とみなし、復旧サポートの対象外にしてしまう設計になっている。

セキュリティ屋の論点

本人確認のログや購入履歴といった「アカウントの持ち主らしさ」を示す間接証拠は本来、復旧判断に使えるはずだ。今回のケースは、大手プラットフォームの自動化された復旧ポリシーが、こうした人間的な救済の余地を機械的に切り捨てていたことを裁判という外圧で覆した例と言える。

ブラジルは消費者保護法が強く、少額訴訟のハードルも低いため今回の勝訴につながったが、同様の泣き寝入りは他国でも起きているとみられる。デジタル資産のプラットフォーム依存が進むほど、アカウント復旧ポリシーの妥当性は今後さらに問われることになりそうだ。

𝕏 ポスト B! はてブ
Post Share LINE B!

COMMENTS 0

まだコメントはありません。最初のコメントを投稿しよう。

コメントを投稿