2021/08/20

AT&T と T-Mobile、1 週間で合計 1 億 2300 万件の顧客記録を流出

username, password, id, auth

2021 年 8 月 20 日 Trevor Collins 著

先週、AT&T の顧客 7,000 万人と T-Mobile の顧客 5,300 万人の個人情報がハッカーに流出しました。この 2 つの情報漏洩に関連性は見られませんが、発生のタイミングが同時である点は気になります。

AT&T はこれまでのところ、自社の顧客情報が漏洩したことを否定しています。攻撃したハッカーからの確かな情報は取れていませんが、販売用のデータを投稿したユーザ ShinnyHunter は、これまで実際の多くの攻撃を投稿してきました。また企業が侵害を受けた際に、攻撃の内容が一般に公開されるまで侵害を否定し続けることは決して稀ではありません。AT&T の情報漏洩には、生年月日、氏名、住所、電子メールアドレス、社会保障番号が含まれていました。上記以外の個人情報が含まれている可能性もありますが、確証はありません。

一方 T-Mobile は、2017 年以降 5 回目の侵害 (T-Mobile の顧客データも一緒に失われた 2015 年の Experian 社の侵害を除く) が発生したことを認めました。今回の侵害は、GPRS サポートノードと呼ばれる T-Mobile のゲートウェイサーバの設定が誤っていたために発生した可能性が高いと見られます。

IT セキュリティ研究者 Jeremy Kirk 氏が投稿したツイートの翻訳

T-Mobile を侵害したと主張する人物によると、同社はテスト用に使われていたと思われるゲートウェイ GPRS サポートノードの設定を誤り、それがインターネット上に公開されていたようです。そのため、最終的に同社の LAN にアクセスできたと考えられます。証拠となるスクリーンショットがこちら
— Jeremy Kirk (@Jeremy_Kirk) August 16, 2021

T-Mobile が確認した情報には、氏名、運転免許証、政府機関の識別番号、社会保障番号、生年月日、暗証番号、住所、電話番号が含まれています。情報漏洩を受けた企業を糾弾することは本意ではありませんが、筆者は、現段階で T-Mobile に個人情報を安心して預けられるとは思えません。

T-Mobile または AT&T をご利用の場合、データが盗まれた後にできることは残念ながら多くありません。最低限、入手可能な個人情報保護ツールを利用したり、クレジットカードの利用履歴を詳細に確認したりすることが必要です。しかし理想としては、サービスに社会保障番号を必要とする電話会社があっても、教えるべきではないでしょう。まだ変更していない場合は、暗証番号を変更し、銀行など他のサービスで同じ暗証番号を使用している場合は、そちらも変更してください。

スパムメール対策機能強化のためのエンジン移行について(2021/4/1)