フロリダ州の女性は、数千の違法なMicrosoftソフトウェアアクティベーションキーを売買する数年間にわたるスキームを運営した罪で、連邦刑務所で22ヶ月の懲役を言い渡されました。
Trinity Software Distributionを運営していたHeidi Richardsは、Microsoftの正規認証書(COA)ラベルの再販に関連した罪で有罪答弁をした後、50,000ドルの罰金の支払いを命じられました。
「Trinity Software Distributionで事業を行っていたRichardsは、共謀者たちに何百万ドルもの資金を支払い、関連するソフトウェアの小売価格よりも大幅に低い価格で、純正でスタンドアロンのMicrosoft COAラベル数千個を購入した」と司法省は述べた。
Microsoftのコア認証書キー再販スキームの内部
本件は、グレーマーケットソフトウェアライセンスに関連した広範なリスク、ベンダーだけでなく、知らず知らずのうちに無許可のアクティベーションキーを購入する可能性のあるビジネスのリスクを浮き彫りにしています。
正規認証書(COA)ラベルは、正規のMicrosoftソフトウェアインストールを検証するためのもので、最も一般的にはWindowsオペレーティングシステムとMicrosoft Officeの製品に使用されます。
これらのラベルは通常、相手先ブランド供給業者(OEM)によってハードウェアに貼り付けられるか、ライセンスされたソフトウェアとそれに対応するCOAの両方を含むシール済みOEMパッケージ内に配布されます。
その目的は、有効な製品キーを特定のデバイスまたは認可された配布チャネルに結びつけることです。
COAキー再販スキームがどのように機能したか
連邦裁判所の記録によると、Richardsと彼女の協力者は2018年7月から2023年1月の間に、テキサス州に拠点を置くサプライヤーから数万の正規のCOAラベルを購入しました。
スキーム全体を通じて、500万ドル以上がサプライヤーに送金されたと報告されています。
ラベル自体は本物でしたが、疑わしい非行は購入後の処理方法に焦点を当てていました。
Microsoftのオートメーション・ライセンス要件に準拠して再販する代わりに、従業員は疑わしくもラベルの製品キーコードを削除し、それらを一括再販用のスプレッドシートに転記しました。
COAラベルには、Microsoftソフトウェアをアクティベートするために使用される一意の製品キーが含まれていますが、ラベルはその意図された用途以外では単独の商業的価値がありません。
連邦検察は、Windows OEM COAの唯一の認可されたダウンストリーム配布方法は、ソフトウェアがインストールされているコンピュータに貼り付けられているか、ライセンス契約と対応するドキュメンテーションを含むシール済みOEMパッケージ内に含まれていることを強調しました。
アクティベーションキーをその適切な配布フレームワークから分離することは、ソフトウェア使用を制御するために設計されたライセンス構造を損なわせます。
本件では、Richardsは従業員にアクティベーションコードを手動で抽出・記録するよう指示し、それらは世界中の顧客に独立して販売されたと疑われています。
これらの顧客は有効なキーを使用してMicrosoftソフトウェアをアクティベートすることができましたが、キーはもはや認可されたハードウェアや適切なライセンス移行に関連付けられていなかったという事実があります。この操作は、これらのコードがマーケットプレイスにどのように進入したかに関わらず、正規のコードへのアクティベーションシステムの依存を効果的に悪用しました。
スキームがライセンス規則に違反した理由
本件の法的問題は偽造ではなく、COAラベル自体は本物でしたが、無許可の配布と売買でした。
製品キーを必要なライセンス条件とサプライチェーンコントロールから分離することで、スキームは契約および著作権保護を回避したと疑われています。
本件では、弱点はMicrosoftのアクティベーションインフラストラクチャではなく、正規のキーがどのようにソースされ、再販されたかを取り巻く配布管理にありました。
ソフトウェアライセンスサプライチェーンリスク管理
グレーマーケットライセンススキームは、アクティベーションキーが正規であるように見える場合でも、組織に財務、運用、および法的リスクにさらす可能性があります。
そのエクスポージャーを減らすために、企業はより強固な調達監視、より厳しいアクティベーション管理、およびソフトウェア使用の継続的な監視が必要です。
- 認可されたリセラーと検証済みの配布チャネルからのみソフトウェアを購入し、大量購入または割引取引をベンダーと直接検証します。
- 集中IT資産管理(ITAM)ツールを実装して、インストールされたソフトウェアを購入エンタイトルメント対して継続的に照合し、異常なアクティベーションパターンを検出します。
- ライセンス調達とアクティベーション権を指定されたロールに制限し、最小権限インストールポリシーを実施し、無許可のソフトウェア展開をブロックします。
- すべてのライセンス購入の完全なドキュメンテーションを維持し、調達管理をより広いサードパーティおよびサプライチェーンリスク管理プロセスに統合します。
- IT、財務、およびコンプライアンスチームを含む定期的な内部ライセンス監査と部門横断的レビューを実施し、グレーマーケットまたは無許可のキーを識別します。
- ネットワークとエンドポイントを異常なアクティベーション動作、地理的不規則性、または迂回もしくは詐欺的なライセンスを示す可能性のある一括キー使用について監視します。
- テストおよび更新インシデント対応計画して、無許可のソフトウェア使用から生じる可能性のあるライセンス無効化、ベンダー監査、または法的エクスポージャーに備えます。
これらの管理措置は、組織がライセンス管理を強化し、無許可または迂回されたソフトウェアキーに関連するサプライチェーンリスクを削減するのに役立ちます。
技術的欠陥を超えたソフトウェアコンプライアンスリスク
本件は、ソフトウェアコンプライアンスの問題が、単なる技術的脆弱性だけでなく、調達および配布監視の不備から生じる可能性があることを浮き彫りにしています。
正規のアクティベーションキーでさえ、認可されたライセンスチャネルから分離されている場合、リスクをもたらす可能性があります。
組織にとって、これはライセンス管理を純粋に管理的なタスクではなく、サプライチェーンおよびコンプライアンス管理の構造化された部分として扱うことの重要性を強調しています。
翻訳元: https://www.esecurityplanet.com/threats/5m-microsoft-activation-key-fraud-ends-in-prison-term/
