- AT&Tのほぼすべての顧客にあたる約1億1000万人の通話・SMSのやり取りの記録が流出し、本文がなくても連絡関係や一部の位置を推定できる事案
- 侵入者は2024年4月、第三者のクラウドプラットフォーム上にあるAT&Tワークスペースにアクセスし、2022年5月1日〜10月31日および2023年1月2日の記録ファイルをダウンロードした
- 流出データには通話・SMSの本文、Social Security番号、生年月日、その他の個人識別情報は含まれていなかったが、電話番号と一部の基地局位置情報が含まれていた
- AT&Tは連邦捜査機関の要請と国家安全保障・公共安全上の懸念を理由に公開を遅らせ、FBIはSEC Rule Item 1.05(c)に基づく延期協議を確認した
- 今回の事案はSnowflake関連の侵害とつながっており、ユーザー名とパスワードだけで大規模な顧客データを保護していた慣行と、多要素認証の欠如が主要なリスクとして残っている
ほぼすべての顧客に及んだAT&T記録流出
- AT&T Corp.は、新たなデータ侵害により約1億1000万人の電話通話およびテキストメッセージ記録が露出したと公表した
- 被害範囲はほぼすべてのAT&T顧客に相当し、AT&Tサービスを再販売するモバイルプロバイダーの通話・SMS記録も含まれる
- 一部の記録には、通話が行われた場所やメッセージが送信された場所を判断するために使われ得るデータが含まれていた
流出したデータと含まれなかったデータ
- 侵入者は2024年4月、第三者クラウドプラットフォーム上のAT&Tワークスペースにアクセスした
- ダウンロードされたファイルには、次の期間の顧客の通話・SMSのやり取りの記録が含まれていた
- 2022年5月1日〜10月31日
- 2023年1月2日
- 流出データに含まれていなかった項目は次のとおり
- 通話内容
- SMSの内容
- Social Security番号
- 生年月日
- その他の個人識別情報
- 一部の記録には、加入者に最も近い携帯電話基地局の位置情報が含まれていた
- この情報は、SMSを送ったり電話をかけたり受けたりした顧客端末のおおよその位置を把握するために使われ得る
- データに顧客名は含まれていないが、AT&Tは公開オンラインツールを使って特定の電話番号に紐づく名前を見つける方法がしばしば存在すると認めている
公開の遅延と捜査の進行
- AT&Tは2024年4月19日に侵害を把握したが、連邦捜査機関の要請により公開を遅らせた
- AT&TのSEC提出書類によると、この侵害に関連して少なくとも1人が当局に拘束された
- FBIは、AT&Tに対し影響を受けた顧客への通知を遅らせるよう要請した事実を確認した
- AT&Tが潜在的な顧客データ侵害を確認した直後にFBIへ事件を報告し、AT&T・FBI・DOJはSEC Rule Item 1.05(c)に基づく公開延期の可能性を協議した
- 延期の理由は、国家安全保障および公共安全に対する潜在的リスクだった
Snowflake侵害と多要素認証の欠如
- TechCrunchが引用したAT&T広報担当者によると、今回の顧客データ窃取は、クラウドデータプロバイダーSnowflakeの160社以上の顧客に関係する進行中のデータ侵害の結果である
- 攻撃者らは、複数の大企業がSnowflakeサーバーに大量の機微な顧客データを置き、アカウントをユーザー名とパスワードだけで保護している点を把握した
- Wiredによると、Snowflakeのデータ窃取の背後にいるハッカーらは、ダークウェブサービスで盗まれたSnowflake認証情報を購入した
- その認証情報には、情報窃取マルウェアが抜き取ったユーザー名、パスワード、認証トークンが含まれていた
- Snowflakeは現在、すべての新規顧客に多要素認証の使用を求めている
- AT&T顧客記録が露出したクラウドデータベースもユーザー名とパスワードだけで保護されており、多要素認証は必要とされていなかった
他のSnowflake被害企業とAT&Tの過去の侵害
- Snowflakeサーバーから数百万件の顧客記録を盗まれた他の企業には、次が含まれる
- Advance Auto Parts
- Allstate
- Anheuser-Busch
- Los Angeles Unified
- Mitsubishi
- Neiman Marcus
- Pure Storage
- Santander Bank
- State Farm
- Ticketmaster
- AT&Tは今年初め、現在のアカウント保有者約760万人と過去のアカウント保有者約6540万人に関わる2018年のデータ侵害を認めた後、数百万人の顧客のパスワードをリセットした
- Advance Auto Partsの露出データには、元・現従業員または応募者230万人の氏名、Social Security番号、運転免許証、政府発行ID番号が含まれていた
通話・SMSメタデータが残すリスク
- アプリケーションセキュリティアーキテクトのMark Burnettは、今回のAT&T侵害で盗まれたデータの実際の用途は、誰が誰に何回連絡したかを知ることにあると見ている
- Burnettは、今回の流出がAT&Tの主要データベースではなく、「誰が誰に連絡したか」に関するメタデータである点を最も懸念している
- 通話ログにタイムスタンプや名前がなくても、こうした記録がどのような目的で使われたのかは疑問として残る
企業責任と財務への影響
- 大規模企業が機微な顧客データをわずかなセキュリティ保護だけで保存する慣行は、依然として不透明な問題として残っている
- データ侵害後に集団訴訟が続く場合を除けば、ずさんなセキュリティ慣行について企業の責任を問う仕組みは多くない
- AT&Tは今回の事案がAT&Tの財務状況や営業成績に重大な影響を与える可能性はないとSECに述べた
- AT&Tの直近四半期売上高は300億ドルを超えている
1件のコメント
Hacker News のコメント
コメントは https://news.ycombinator.com/item?id=40944505 に移動
関連する議論リンク:
(272ポイント、7時間前、コメント210件) https://news.ycombinator.com/item?id=40944505
(76ポイント、6時間前、コメント31件) https://news.ycombinator.com/item?id=40944839
重複投稿であり、追加の議論は https://news.ycombinator.com/item?id=40944505 にある