1 ポイント 投稿者 GN⁺ 2024-07-13 | 1件のコメント | WhatsAppで共有
  • AT&Tの新たなデータ流出は、ほぼすべての顧客の通話・SMSの関係記録に影響し、約1億1,000万人に通知が行われる予定
  • 盗まれたデータは、2022年5月1日〜10月31日の通話・SMSメタデータが中心で、一部顧客では2023年1月2日の記録も含まれる
  • メッセージ内容や正確な時刻・日付は含まれていないが、誰が誰と連絡したか、通話量・通話時間、一部のセルサイト識別番号が露出
  • 今回の事故はAT&Tの3月のセキュリティ事故とは別件で、Snowflake顧客アカウントを狙った最近のデータ窃取事案と関連している
  • Snowflakeアカウント保護で多要素認証の未使用が争点となっており、Mandiantは約165件の顧客アカウントで相当量のデータ窃取を確認

AT&Tから漏えいした通話記録の範囲

  • AT&Tは今回の事故について、約1億1,000万人に通知する予定
  • 盗まれたデータには、AT&Tの携帯電話・固定電話顧客の電話番号と通話・SMS記録が含まれる
    • 対象期間は2022年5月1日から2022年10月31日までの6か月
    • 一部顧客では2023年1月2日のより新しい記録も含まれるが、該当顧客数は公開されていない
  • AT&Tネットワークを利用する他の通信事業者の顧客の通話記録も漏えいデータに含まれる
  • 漏えいデータには通話内容やメッセージ本文は含まれない
    • 特定のAT&T番号がどの番号と通話またはメッセージをやり取りしたかを確認できる
    • 顧客ごとの総通話・総SMS件数と通話時間が含まれる
    • 通話・メッセージの時刻や日付は含まれない
  • 一部記録には、通話やSMSに関連づけられたセルサイト識別番号が含まれる
    • この情報から、通話が行われた、またはメッセージが送信されたおおよその位置を把握できる
  • AT&Tは顧客向け情報ページ規制当局提出文書を通じて事故を公表した

Snowflakeアカウント窃取と捜査状況

  • AT&Tは4月19日に今回のデータ流出を認識し、3月に公表した以前のセキュリティ事故とは無関係だと説明した
  • 最新の顧客記録は、Snowflake顧客を狙った最近のデータ窃取事案の中でSnowflakeから盗まれたことが確認された
    • Snowflakeは、企業顧客がクラウド上で大量の顧客データを分析できるようにするサービス
    • AT&Tが顧客データをSnowflakeに保存していた理由は公開されていない
  • この数週間で、TicketmasterやLendingTree子会社のQuoteWizardなどもSnowflakeからデータが盗まれたことを確認した
  • Snowflakeは、アカウント保護に多要素認証を使用していなかった顧客にデータ窃取の責任があるとの見方を示している
    • Snowflakeはこのセキュリティ機能を顧客に強制したり必須化したりしていなかった
    • 顧客通知を支援するためSnowflakeが招いたMandiantは、約165件のSnowflake顧客アカウントで相当量のデータが盗まれたことを確認した
  • Mandiantは今回の侵害を、UNC5537として追跡されている未分類のサイバー犯罪グループに帰属させている
    • 当該ハッカーは金銭目的を持つと評価されている
    • 構成員は北米におり、少なくとも1人はトルコにいる
  • Snowflakeアカウント窃取における一部企業被害者のデータは既知のサイバー犯罪フォーラムに投稿されたが、AT&Tは自社データが現時点で公開利用可能になっているとは見ていない
  • AT&Tは法執行機関と協力して関連するサイバー犯罪者の逮捕を進めており、少なくとも1人が逮捕された
    • 逮捕された人物はAT&Tの従業員ではない
    • FBIはこの逮捕についてコメントしていない
  • FBIは、AT&Tが侵害を届け出た後、AT&T、FBI、司法省が2度にわたり顧客・一般向け通知の延期に合意したことを確認した
    • 理由は国家安全保障および公共安全に対する潜在的リスクだった
    • 3機関は延期手続きの間に脅威情報を共有し、FBIの捜査とAT&Tの事故対応を支援した
  • 今回の事故は、AT&Tが今年公表した2件目のセキュリティ事故
    • これに先立ち、顧客アカウント情報のキャッシュがサイバー犯罪フォーラムに投稿された後、AT&Tは数百万人の顧客のアカウントパスワードをリセットしなければならなかった
    • 当時のキャッシュにはAT&T顧客アカウントへアクセスするための暗号化されたパスコードが含まれており、セキュリティ研究者はそのパスコードが容易に復号できると見ていた

1件のコメント

 
GN⁺ 2024-07-13
Hacker Newsのコメント
  • AT&Tの顧客は1億1000万人いるので、侵入のせいで顧客1人あたりアカウント管理に1分余計に費やすだけでも、合計で209年以上の時間が失われることになる。
    データ漏えい関連の法律は、はるかに強化されるべきだ。漏えいに実質的な結果がほとんど伴わないなら、企業はデータセキュリティに最低限しか投資しないだろう。
    法人格の壁を突き破って、過失によりこのような事態を可能にした人物を刑事訴追するか、経営陣と株主が実際に打撃を受けるほど罰金を大きくすべきだ。

    • AT&Tのような企業が、面白半分でそんなデータを集めているわけではないという点を誰も指摘しないのは驚きだ。コストも大きいが、政府が法的に要求しているからだ。
      みんな会社を非難しているが、政府が自分のすべての通話活動記録を持つことに何の抵抗もないのはおかしいと思ったことはないのだろうか。昔なら、こういうものはディストピア的な監視国家と呼ばれていただろう。
    • 実際に何かを直すには、株主に打撃を与えるしかない。富裕層が金を失い、Cレベルと取締役会が責任に向き合わざるを得なくなるまでは、彼らは互いに肩をたたき合いながらボーナスを受け取り続けるだろう。
    • 「この事態を可能にした過失」の当事者は、おそらく普通の現場社員である可能性が高い。何を望むのかには注意したほうがいい。
      自分の知らない脆弱性のせいで自分のソフトウェアが破られたからといって、法的責任を負いたくはない。
      妥当な第一歩は、データセキュリティに関する第三者基準、監査、認証を作り、プライバシーとセキュリティを重視する消費者が、企業が何をしているのか分かるようにすることかもしれない。消費者がそこに価値を感じれば、その会社をより好むようになり、他社も追随する可能性がある。
    • こうした漏えいを防げたはずの法律は、通信事業者が顧客データを販売することを違法にする法律だ。AT&TがすべてのデータをSnowflakeに入れた理由は、顧客の位置情報と社会的関係網をマーケターに売るためだった。
      これがまだ違法でないことが、どうしても納得できない。
    • データ漏えいを起こしたら、10年間その種類のデータを収集するどころか、保存も販売もできず、この規則がデータ収集を求める法律に優先する世界を想像してみればいい。
      AT&Tは一夜にして、ほぼエンドツーエンド暗号化サービスのようになるだろう。
      回線自体が暗号化されるわけではないので、NSAは依然として盗聴するだろうが、少なくともAT&Tのデータセンターには、ブートドライブ、SMSメッセージキュー、承認済みSIMと電話番号のマッピングを除けば、変更可能なストレージはゼロにできる。
      今の時代に、なぜ通話記録を保持し続けるのか分からない。本来の目的だった課金にも、もはや必要ない。
  • 「Snowflakeクラウドデータ提供事業者の顧客160社以上が関係する、まだ進行中のデータ漏えい」だというなら、Snowflakeは普段AT&Tのデータを全部持って何をしているのか気になる。「マーケティングパートナー」に再配布しているのか? そう見える。
    SnowflakeのWebサイトのミッションステートメントには、「私たちの使命は、データサイロを取り払い、複雑性を克服し、パブリッシャー・広告主・それらを支える中核技術の間で安全なデータコラボレーションを可能にすること」とある。
    だとすると、これはAT&Tの運用システムが侵入されたのではなく、すでにマーケターに売っていたデータを、認可されていない誰かが持ち去ったように見える。この理解で合っているのか気になる。

    • Salesforceのようなところが漏えいし、その大口顧客が影響を受けた場合と大きく違わないかもしれない。大企業はバックオフィス業務のかなりの部分にSaaSサービスを使っている。
    • Snowflakeは主にOLAP向けクラウドデータベースだ。AT&Tのアカウントは、弱いパスワードと多要素認証の欠如で守られていた。
    • AT&TはSnowflakeを内部分析に使っていた可能性もある。
    • だとすれば、AT&Tは何よりも、このデータの対価を受け取れなかったことにより腹を立てていた可能性が高い。
  • 今回の漏えいとSnowflakeのデータレイクにあったデータの性質を見ると、顧客の立場ではこの事件を「漏えい」とは見ないと思う。本当の漏えいは、それより上流の段階ですでに起きていたと見る。
    データベースにあったデータの性質と保存されていたプラットフォームを見ると、このデータはAT&T内部用ではなく、広告主や消費者分析パートナーのような第三者、あるいは政府機関が外部で使うために作られた可能性が非常に高そうだ。
    つまり、自分のデータがこのストレージにあったなら、ストレージに入った瞬間にすでに「漏えい」したものと見る。ここでの問題は、AT&TとFBIの視点では間違った相手に漏えいしたという点のように見える。

    • 無差別なデータ収集とSnowflake系データベースの問題は、インターネットに何らかの個人情報を入力した瞬間、それは安全ではなくなるということだ。十分な時間が経てば、そのすべての情報は「共有」され、第三者の金銭的・政治的利益のために使われる。
      AT&Tであれ銀行であれ政府であれ関係ない。機密情報が非公開のまま残ると、どんな状況でも期待することはできない。
      昔は子どもたちにインターネットを紹介するとき、これをほとんど絶対原則のように教えていたのに、この20年でどれほど変わったか驚く。
    • Snowflakeがデータを検証するよりも、飲み込んで売りさばくことにばかり躍起になっていたせいで、AT&T顧客の児童性的虐待コンテンツを公然と転送したことが何度あったのか気になる。
  • AT&Tの株価は今朝の初期の**-2.6%下落**からすでにかなり回復しているので、市場はAT&Tを無傷だと見ているようだ。一方でSnowflakeは-3.9%下落中で、AT&T以外にも多くの顧客がいる。
    https://www.marketwatch.com/investing/stock/T
    https://www.marketwatch.com/investing/stock/SNOW

    • 市場がデータ漏えいを気にしているという印象を受けたことがない。ほとんどの企業がデータ漏えいについて財務的な責任を負うこともまれなように思う。
      株価に見える影響があるとしても、このニュースとは無関係である可能性が高いと思う。
    • Salesforceにデータを入れていたらSalesforceが漏えいした、というのに似ている。ベンダー選定を誤った責任はあるかもしれないが、実際の信頼喪失はSalesforce側に生じるだろう。
      この場合、記事によればTicketmasterとLending Treeの漏えいの原因もSnowflakeだったので、今はSnowflakeへの信頼が大きく落ちてもおかしくない。
    • コストは大きな問題ではなく、顧客も他社へ移らないだろう。
      集団訴訟の結果は、各自が2ドルを受け取る代わりに、2000年代初頭の着信音付加サービスの無料体験券に変わり、結局は継続収益だけが増える、という感じになりそうだ。
  • 欧州では、運用に必要な範囲を超えて通話記録を包括的に保存することは多くの国で違法だったはずで、一般的にも国家安全保障への実際の脅威と裁判所の監督下での一時的措置でない限り、欧州人権条約に適合しない[1]
    サービス提供者がそもそもこのようなものを保存すべき理由はなく、立法で改めるのも難しくない。単に保存自体を違法にすればよい
    [1] https://curia.europa.eu/juris/document/document.jsf?text=&do...

    • むしろ多くの欧州諸国には義務的なデータ保存期間があり、今回の流出に含まれていたという6か月分の記録と同じか、それより長い場合も多い
      ドイツは比較的短いほうで10週間だが、それでもそうした記録を保存しなければならない
      欧州でこのような記録収集が違法だというのは明らかに誤りで、さらに言えば、記録収集は通常、国ごとに定められた期間について義務づけられている
      課金のために通話記録が必要になる。顧客が請求書に異議を唱えることはよくあるので、しばらくはさらに保存しておく必要もある
    • 保存すべき理由はたくさんある。ただし、その多くは人々が企業はこう運営されるべきだと考えるやり方とは逆なだけだ
      残念ながら米国は顧客保護よりも「破壊的イノベーション」を重視しているようで、そのためデータの法的保護は議会で人気がない
    • 政府が通信事業者に全通話記録をこのような形で保存するよう命じることは認められていないと理解していた。ただ、通信事業者が自ら行うことまでは止められないようだ
      それはGDPRの制限により抵触する案件ではないかと思う
    • 政府が国民のためにある場所に住んでいるようだ。自分たちのための政府ではなく
    • NSAが欲しいものはNSAが持っていく。システムが意図どおりに機能しているなら、別途立法は必要ない
  • 消費者がデータ流出にあまりにも鈍感になってしまい、今ではこうした事件にもほとんど怒りが湧かない。消費者の怒りがなければ、企業がデータ流出を防ぐためにさらに努力する誘因はほとんどないと思う

    • もはやデータプライバシーというものは存在しないように感じ始めている。最近の大規模顧客データベースの管理者たちが、なぜわざわざパスワードを設定するのかも分からない
    • Equifaxの件以降、誰も気にしていないように思える。名前、住所、電話番号のようなありふれた情報ではなく、業務の中核データが露出する大規模なB2B流出が起きて初めて大ごととして受け止められるのだろう
    • AT&Tは上場企業だ。上場企業はそれに見合った罰金を払うべきだ
      こうした流出に数十億ドルの罰金を科し始めれば、企業は突然セキュリティに投資するようになるだろう
      ただし最近の最高裁判決で政府機関の力が弱まっているので、可能ではなさそうだ
      今後は民事裁判所、つまり集団訴訟で罰金を課すことに頼る必要がありそうだ
    • 多くの企業は、サイバーセキュリティチームに資金を注ぎ込めばこの問題を解決できると考えているようだ。しかしサイバーセキュリティチームはしばしば効果的ではない
    • 私たちが怒っていたときでさえ、なぜ何もしなかったのか分からない
  • AT&Tのアカウントを10年以上前に解約したのに、今年3月の以前のハッキングの際、いまだに私の昔の住所、フルネーム、社会保障番号を保存していた
    無能な組織を実質的に罰するまともな法律がないというのは、本当にあり得ない

  • 今年初めにも、AT&Tかそのベンダーの流出のせいで私の社会保障番号がダークウェブに載った。1年の監視では足りない。生涯必要だ
    セキュリティは関心事ではない。現状を変える実際の誘因がない。こうした企業には無期限の監視費用を負担させるべきだ

    • 米国で社会保障番号を秘密のように扱うのが理解できない。それは「パスワード」ではなく「ユーザー名」であるべきだ
      私たちの国の国民ID番号は、生年月日、その日に生まれた順番の連番、チェックサムの数字から計算でき、個人事業を少しでもしていれば、個人の納税者番号をすべての領収書や業務上の購入書類に記載しなければならない
      今日最初に生まれた男児のID番号が120702450001Xだと知っていても、悪事の役には立たない。チェックサム計算は面倒なのでしていないが、アルゴリズムは公開されている
    • 場合によっては、流出した情報の中で社会保障番号が最も小さな問題かもしれない
      自殺予防ホットライン、妊娠中絶クリニック、ローン返済サービスなどに電話した人たちはどうなるのか考えるべきだ
      電話番号があれば、そうした事実を突き止められる
    • 1980年代後半に大学へ行ったとき、私の社会保障番号が自動的に学生証番号として使われていた。1990年に最初の銀行口座を作ったときは、社会保障番号が口座番号として使われていた
    • 社会保障局自体が持続不可能なので、今後10年以内に破綻すれば、もはや問題ではなくなるだろう
  • TechCrunchの記事によると、基地局識別子も含まれており、これはおおよその位置情報も含まれていたという意味だ
    https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...

  • それで、私への補償はどこにあるのか分からない。もちろん救済手段がないことは分かっている
    膨大な顧客の個人情報が入ったデータストアで多要素認証を有効にするような安全な慣行について、誰も責任を負わなければこういう結果になる
    謝罪すらなく報告して終わるだけだ。「しまった、あの忌々しいサイバー犯罪者どもめ」くらいで済む

    • 裁判所に行って補償を求めれば、損害を立証しろと言われる可能性が高い。立証できるだろうか?
    • こうした件で何度か小切手を受け取ったことがある。結局、請求フォームに記入して5年ほど待っていると、ある日ごく少額の小切手が郵便で届く、という形だ