AT&Tの大規模データ侵害:ハッカーに身代金37万ドルが払われていたとの報道
(情報源:The Record、SecurityWeek、Dark Reading、BleepingComputer)
先週金曜に発覚した、AT&Tの大規模データ侵害。同社のSnowflakeアカウントから、顧客約1億900万人分の通話ログがハッカーによって盗まれたことなどが開示されていた。さらにその後の報道では、同社がハッカーに身代金370,000ドルを支払ったとみられることや、ハッキングの実行者はトルコ在住の米国人ハッカーであると思われることなども新たに明らかになっている。
AT&Tの大規模データ侵害:タイムライン
報じられているところによれば、今回のハッキングの大まかな流れは以下の通り。
- 2024年4月14〜25日:ハッカーのErin BinnsがAT&TのSnowflake環境にアクセス。顧客の通話およびテキストメッセージに関するメタデータを抜き取る。
- 4月:Binnsがセキュリティ研究者「Reddington」氏に接触。AT&Tとの間での身代金支払いを手伝うようReddington氏に依頼。身代金要求額は100万ドルだったとされる。
- 5月:T-Mobileの侵害に関する容疑をめぐり、Binnsがトルコ国内で逮捕される。
- 5月:Reddington氏の仲介により、AT&Tが身代金37万ドルを支払う。なお、Binnsの逮捕により、支払い先はサイバー犯罪グループ「ShinyHunters」に変更された。支払いを受け、ハッカー側は盗んだデータを削除したとされる。
- 6月12日:AT&Tが米証券取引委員会(SEC)に本インシデントを報告。
盗まれたデータの概要
AT&Tによれば、盗まれたのは2022年5月1日〜10月31日までのデータと、2023年1月2日のデータ。これには、以下の情報が含まれていたという:
- AT&Tのワイヤレス顧客の電話番号
- AT&Tのネットワークを利用しているMVNO(仮想移動体通信事業者)の顧客の電話番号
- 上記の顧客との間で通話またはテキスト送信などのインタラクションを行った相手の電話番号
- インタラクションの回数(通話回数やテキストメッセージの送信回数)
- 1日または1ヶ月の通話時間の集計
- (一部のレコードのみ)基地局ID番号
なお、通話内容やメッセージ内容自体は含まれていなかったとされる。また、顧客の氏名や生年月日などの個人情報も盗まれてはいないという。
Snowflake被害者リストに加わる
今年5月以降、Snowflakeアカウント経由でのデータ侵害は相次いで報告されており、被害組織の数は165を超えると言われている。前述の研究者Reddington氏がWIRED紙の記者に語ったところによれば、その中でも一番最初の被害者がAT&Tであった可能性が高いという。このほか、以下のような企業が被害に遭ったとされている:
- Advance Auto Parts
- ピュア・ストレージ
- ロサンゼルス統一学区
- ニーマン・マーカス
- チケットマスター
- サンタンデール銀行