T-Mobile US社CEOのMike Sievert氏は先月27日、サイバー攻撃を阻止できず、少なくとも5,400万人分の個人情報を流出させたことについて謝罪した。

「今回のような事態が起こり、非常に落胆している、という言葉では表せません」。氏はブログ記事に書いている。「お客様のデータの安全性を保つことは当社にとって非常に重要な責務であり、このような事態の発生を防ぐことは常に最優先事項であり続けてきました。残念なことに、今回はうまくいきませんでした」

事件が収束し、T-Mobile社の調査が「概ね完了」した今、Sievert氏は信頼回復のためにセキュリティ対策を改善することを約束した。

「サイバーセキュリティへの取り組みを次のレベルに引き上げるためには、さらなる専門知識が必要だと認識しています。当社はそのための支援を依頼しました」と氏。サイバーセキュリティの米Mandiant、コンサルティングのKPMG社と長期契約を結んだという。「最高クラスのプラクティスを採用し、当社のアプローチを変革するために、複数年かけて大規模な投資を行う計画です。これらの契約はその一環です」

T-Mobile社、サイバーセキュリティを強化

T-Mobile社はMandiant社を頼りに、「企業全体のサイバーセキュリティリスクを軽減し、安定化させるための即時的かつ長期的な戦略プランを策定します」とSievert氏。「T-Mobileの全セキュリティポリシーとパフォーマンス測定について、徹底的な見直しを行う」とした。

Sievert氏によると、両社はT-Mobile社のセキュリティチームと協力し、セキュリティ態勢を改善するために足りないものを明確にし、必要なアクションを設計していくという。

一方で、T-Mobile社が取った短期的な対応と顧客とのコミュニケーションは依然として限られたものとなっている。T-Mobile社は2年間のID保護を提供することを改めて表明し、顧客に対して詐欺防止ツールに登録し、PINとパスワードをリセットするよう呼び掛けている。

Sievert氏は法執行機関との連携による犯罪捜査のため詳細を開示できない部分が多くあるとしながらも、「悪意のあるアクターが自社のサーバに不正に侵入した」ことを認めている。そうしたアクセスポイントは現在閉鎖されており、「現在は今回の侵入による顧客データへのリスクはないと確信しています」とした。

「簡単に言うと、悪意のあるアクターは技術システムに関する知識と特殊なツールや機能を使って当社のテスト環境にアクセスし、総当たり攻撃などの手法によって顧客データを含む別のITサーバに侵入したのです」とSievert氏は説明している。

「一言で言えば、この人物の目的は侵入してデータを盗むことであり、それに成功しました」と氏。

T-Mobile社は「高度に洗練された攻撃」の被害に遭ったと主張しているが、John Binnsと名乗るハッカーは今回の侵害の犯行声明を出した後、一般公開されている簡単なツールを使って保護されていないルータを発見し、簡単にアクセスできたと米紙ウォール・ストリート・ジャーナルに語っている。

米調査会社Forrester Researchのアナリスト、Allie Mellen氏もこの見解に同意している。「これは高度な攻撃ではなく、ゼロデイ攻撃でもありませんでした。T-Mobileは攻撃者に対して入り口を大きく開けたままにしており、攻撃者はその入り口を見つけるだけでよかったのです」。氏はSDxCentralのインタビューで説明している。

Sievert氏は「当社はこの道を謙虚に歩み始めています」と述べ、T-Mobile社のセキュリティ改善には時間がかかることを告げて謝罪を締めくくった。

https://www.sdxcentral.com/articles/news/t-mobile-ceo-apologizes-pledges-security-improvements/2021/08/