AT&T顧客の「ほぼ全員」の通話記録が盗難データ流出で漏えい
(techcrunch.com)- AT&Tの新たなデータ流出は、ほぼすべての顧客の通話・SMSの関係記録に影響し、約1億1,000万人に通知が行われる予定
- 盗まれたデータは、2022年5月1日〜10月31日の通話・SMSメタデータが中心で、一部顧客では2023年1月2日の記録も含まれる
- メッセージ内容や正確な時刻・日付は含まれていないが、誰が誰と連絡したか、通話量・通話時間、一部のセルサイト識別番号が露出
- 今回の事故はAT&Tの3月のセキュリティ事故とは別件で、Snowflake顧客アカウントを狙った最近のデータ窃取事案と関連している
- Snowflakeアカウント保護で多要素認証の未使用が争点となっており、Mandiantは約165件の顧客アカウントで相当量のデータ窃取を確認
AT&Tから漏えいした通話記録の範囲
- AT&Tは今回の事故について、約1億1,000万人に通知する予定
- 盗まれたデータには、AT&Tの携帯電話・固定電話顧客の電話番号と通話・SMS記録が含まれる
- 対象期間は2022年5月1日から2022年10月31日までの6か月
- 一部顧客では2023年1月2日のより新しい記録も含まれるが、該当顧客数は公開されていない
- AT&Tネットワークを利用する他の通信事業者の顧客の通話記録も漏えいデータに含まれる
- 漏えいデータには通話内容やメッセージ本文は含まれない
- 特定のAT&T番号がどの番号と通話またはメッセージをやり取りしたかを確認できる
- 顧客ごとの総通話・総SMS件数と通話時間が含まれる
- 通話・メッセージの時刻や日付は含まれない
- 一部記録には、通話やSMSに関連づけられたセルサイト識別番号が含まれる
- この情報から、通話が行われた、またはメッセージが送信されたおおよその位置を把握できる
- AT&Tは顧客向け情報ページと規制当局提出文書を通じて事故を公表した
Snowflakeアカウント窃取と捜査状況
- AT&Tは4月19日に今回のデータ流出を認識し、3月に公表した以前のセキュリティ事故とは無関係だと説明した
- 最新の顧客記録は、Snowflake顧客を狙った最近のデータ窃取事案の中でSnowflakeから盗まれたことが確認された
- Snowflakeは、企業顧客がクラウド上で大量の顧客データを分析できるようにするサービス
- AT&Tが顧客データをSnowflakeに保存していた理由は公開されていない
- この数週間で、TicketmasterやLendingTree子会社のQuoteWizardなどもSnowflakeからデータが盗まれたことを確認した
- Snowflakeは、アカウント保護に多要素認証を使用していなかった顧客にデータ窃取の責任があるとの見方を示している
- Snowflakeはこのセキュリティ機能を顧客に強制したり必須化したりしていなかった
- 顧客通知を支援するためSnowflakeが招いたMandiantは、約165件のSnowflake顧客アカウントで相当量のデータが盗まれたことを確認した
- Mandiantは今回の侵害を、UNC5537として追跡されている未分類のサイバー犯罪グループに帰属させている
- 当該ハッカーは金銭目的を持つと評価されている
- 構成員は北米におり、少なくとも1人はトルコにいる
- Snowflakeアカウント窃取における一部企業被害者のデータは既知のサイバー犯罪フォーラムに投稿されたが、AT&Tは自社データが現時点で公開利用可能になっているとは見ていない
- AT&Tは法執行機関と協力して関連するサイバー犯罪者の逮捕を進めており、少なくとも1人が逮捕された
- 逮捕された人物はAT&Tの従業員ではない
- FBIはこの逮捕についてコメントしていない
- FBIは、AT&Tが侵害を届け出た後、AT&T、FBI、司法省が2度にわたり顧客・一般向け通知の延期に合意したことを確認した
- 理由は国家安全保障および公共安全に対する潜在的リスクだった
- 3機関は延期手続きの間に脅威情報を共有し、FBIの捜査とAT&Tの事故対応を支援した
- 今回の事故は、AT&Tが今年公表した2件目のセキュリティ事故
- これに先立ち、顧客アカウント情報のキャッシュがサイバー犯罪フォーラムに投稿された後、AT&Tは数百万人の顧客のアカウントパスワードをリセットしなければならなかった
- 当時のキャッシュにはAT&T顧客アカウントへアクセスするための暗号化されたパスコードが含まれており、セキュリティ研究者はそのパスコードが容易に復号できると見ていた
1件のコメント
Hacker Newsのコメント
AT&Tの顧客は1億1000万人いるので、侵入のせいで顧客1人あたりアカウント管理に1分余計に費やすだけでも、合計で209年以上の時間が失われることになる。
データ漏えい関連の法律は、はるかに強化されるべきだ。漏えいに実質的な結果がほとんど伴わないなら、企業はデータセキュリティに最低限しか投資しないだろう。
法人格の壁を突き破って、過失によりこのような事態を可能にした人物を刑事訴追するか、経営陣と株主が実際に打撃を受けるほど罰金を大きくすべきだ。
みんな会社を非難しているが、政府が自分のすべての通話活動記録を持つことに何の抵抗もないのはおかしいと思ったことはないのだろうか。昔なら、こういうものはディストピア的な監視国家と呼ばれていただろう。
自分の知らない脆弱性のせいで自分のソフトウェアが破られたからといって、法的責任を負いたくはない。
妥当な第一歩は、データセキュリティに関する第三者基準、監査、認証を作り、プライバシーとセキュリティを重視する消費者が、企業が何をしているのか分かるようにすることかもしれない。消費者がそこに価値を感じれば、その会社をより好むようになり、他社も追随する可能性がある。
これがまだ違法でないことが、どうしても納得できない。
AT&Tは一夜にして、ほぼエンドツーエンド暗号化サービスのようになるだろう。
回線自体が暗号化されるわけではないので、NSAは依然として盗聴するだろうが、少なくともAT&Tのデータセンターには、ブートドライブ、SMSメッセージキュー、承認済みSIMと電話番号のマッピングを除けば、変更可能なストレージはゼロにできる。
今の時代に、なぜ通話記録を保持し続けるのか分からない。本来の目的だった課金にも、もはや必要ない。
「Snowflakeクラウドデータ提供事業者の顧客160社以上が関係する、まだ進行中のデータ漏えい」だというなら、Snowflakeは普段AT&Tのデータを全部持って何をしているのか気になる。「マーケティングパートナー」に再配布しているのか? そう見える。
SnowflakeのWebサイトのミッションステートメントには、「私たちの使命は、データサイロを取り払い、複雑性を克服し、パブリッシャー・広告主・それらを支える中核技術の間で安全なデータコラボレーションを可能にすること」とある。
だとすると、これはAT&Tの運用システムが侵入されたのではなく、すでにマーケターに売っていたデータを、認可されていない誰かが持ち去ったように見える。この理解で合っているのか気になる。
今回の漏えいとSnowflakeのデータレイクにあったデータの性質を見ると、顧客の立場ではこの事件を「漏えい」とは見ないと思う。本当の漏えいは、それより上流の段階ですでに起きていたと見る。
データベースにあったデータの性質と保存されていたプラットフォームを見ると、このデータはAT&T内部用ではなく、広告主や消費者分析パートナーのような第三者、あるいは政府機関が外部で使うために作られた可能性が非常に高そうだ。
つまり、自分のデータがこのストレージにあったなら、ストレージに入った瞬間にすでに「漏えい」したものと見る。ここでの問題は、AT&TとFBIの視点では間違った相手に漏えいしたという点のように見える。
AT&Tであれ銀行であれ政府であれ関係ない。機密情報が非公開のまま残ると、どんな状況でも期待することはできない。
昔は子どもたちにインターネットを紹介するとき、これをほとんど絶対原則のように教えていたのに、この20年でどれほど変わったか驚く。
AT&Tの株価は今朝の初期の**-2.6%下落**からすでにかなり回復しているので、市場はAT&Tを無傷だと見ているようだ。一方でSnowflakeは-3.9%下落中で、AT&T以外にも多くの顧客がいる。
https://www.marketwatch.com/investing/stock/T
https://www.marketwatch.com/investing/stock/SNOW
株価に見える影響があるとしても、このニュースとは無関係である可能性が高いと思う。
この場合、記事によればTicketmasterとLending Treeの漏えいの原因もSnowflakeだったので、今はSnowflakeへの信頼が大きく落ちてもおかしくない。
集団訴訟の結果は、各自が2ドルを受け取る代わりに、2000年代初頭の着信音付加サービスの無料体験券に変わり、結局は継続収益だけが増える、という感じになりそうだ。
欧州では、運用に必要な範囲を超えて通話記録を包括的に保存することは多くの国で違法だったはずで、一般的にも国家安全保障への実際の脅威と裁判所の監督下での一時的措置でない限り、欧州人権条約に適合しない[1]
サービス提供者がそもそもこのようなものを保存すべき理由はなく、立法で改めるのも難しくない。単に保存自体を違法にすればよい
[1] https://curia.europa.eu/juris/document/document.jsf?text=&do...
ドイツは比較的短いほうで10週間だが、それでもそうした記録を保存しなければならない
欧州でこのような記録収集が違法だというのは明らかに誤りで、さらに言えば、記録収集は通常、国ごとに定められた期間について義務づけられている
課金のために通話記録が必要になる。顧客が請求書に異議を唱えることはよくあるので、しばらくはさらに保存しておく必要もある
残念ながら米国は顧客保護よりも「破壊的イノベーション」を重視しているようで、そのためデータの法的保護は議会で人気がない
それはGDPRの制限により抵触する案件ではないかと思う
消費者がデータ流出にあまりにも鈍感になってしまい、今ではこうした事件にもほとんど怒りが湧かない。消費者の怒りがなければ、企業がデータ流出を防ぐためにさらに努力する誘因はほとんどないと思う
こうした流出に数十億ドルの罰金を科し始めれば、企業は突然セキュリティに投資するようになるだろう
ただし最近の最高裁判決で政府機関の力が弱まっているので、可能ではなさそうだ
今後は民事裁判所、つまり集団訴訟で罰金を課すことに頼る必要がありそうだ
AT&Tのアカウントを10年以上前に解約したのに、今年3月の以前のハッキングの際、いまだに私の昔の住所、フルネーム、社会保障番号を保存していた
無能な組織を実質的に罰するまともな法律がないというのは、本当にあり得ない
今年初めにも、AT&Tかそのベンダーの流出のせいで私の社会保障番号がダークウェブに載った。1年の監視では足りない。生涯必要だ
セキュリティは関心事ではない。現状を変える実際の誘因がない。こうした企業には無期限の監視費用を負担させるべきだ
私たちの国の国民ID番号は、生年月日、その日に生まれた順番の連番、チェックサムの数字から計算でき、個人事業を少しでもしていれば、個人の納税者番号をすべての領収書や業務上の購入書類に記載しなければならない
今日最初に生まれた男児のID番号が120702450001Xだと知っていても、悪事の役には立たない。チェックサム計算は面倒なのでしていないが、アルゴリズムは公開されている
自殺予防ホットライン、妊娠中絶クリニック、ローン返済サービスなどに電話した人たちはどうなるのか考えるべきだ
電話番号があれば、そうした事実を突き止められる
TechCrunchの記事によると、基地局識別子も含まれており、これはおおよその位置情報も含まれていたという意味だ
https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...
それで、私への補償はどこにあるのか分からない。もちろん救済手段がないことは分かっている
膨大な顧客の個人情報が入ったデータストアで多要素認証を有効にするような安全な慣行について、誰も責任を負わなければこういう結果になる
謝罪すらなく報告して終わるだけだ。「しまった、あの忌々しいサイバー犯罪者どもめ」くらいで済む