米大手キャリアのT-Mobile USが深刻なセキュリティ問題を抱え、顧客基盤全体が窮地に陥っている。

同社は8月第2週末に大規模なデータ侵害を受け、前例のない事態に突入する可能性を抱えた。ハッカーらがT-Mobile US社のサーバに侵入し、1億人以上の顧客の個人情報を入手したと報じられている。

メディア企業のViceがデータ侵害を最初に報道してから約32時間後、T-Mobile社は「一部のT-Mobileデータへの不正アクセスが発生した」 ことを認めたが、被害の程度や攻撃によって顧客の個人情報が漏えいしたかどうかについてはまだ明らかにしていない。

米調査会社ZK Researchで主席アナリストを務めるZeus Kerravala氏は、質問への回答として、「キャリアが受けた侵害としては過去最大のものだと思います」と書いている。

米調査会社LightCountingのチーフアナリスト、Stephane Teral氏もこの判断に同意しており、両氏の指摘によると、T-Mobile社のデータ侵害はこの4年間で6件目になるという。

「T-Mobileはここ数年、ハッカーの格好の標的となっています。同社はセキュリティを全面的に見直す必要があります」とKerravala氏は言う。

「衝撃的なほどの」T-Mobile社からの詳細情報の欠如

「私が最も懸念していることの1つは、T-Mobile社が、何が盗まれたのか、あるいは盗まれていないのかをまだ確認できていないことです。顧客は今も、これが心配すべきことなのか気になるままに放置されています」と氏は言う。「侵害は発生するものです。しかし、その範囲についてT-Mobileが詳細を発表できないという事実は衝撃的なことです」

T-Mobile社は「アクセスに使われた侵入ポイントは既に閉じた」としているが、ハッカーらは、損害はすでに起きている、データをローカルにダウンロードして複数の場所にバックアップしたと主張している。

Vice社によると、ダウンロードされたデータには幅広い個人情報（氏名、電話番号、社会保障番号、住所、固有のデバイス識別子、セキュリティPIN、運転免許証の情報など）が含まれており、同社はデータのサンプルを閲覧してT-Mobile社の顧客に関する正確な情報が含まれていることを確認したという。

Teral氏はSDxCentralへのメールで、「これが本当なら、この事件に関する私の理解では、このデータ流出で最も懸念すべきなのは名前と電話番号を結びつけるデータベースへのアクセスが行われたことと、一部の人々の携帯キャリアと住所を特定することが可能であったことです」と述べている。「これがこの事件の特徴であり、被害をもたらす部分だと思います」

危機管理の基本から言えば、T-Mobile社は可能な限り透明性を確保し、顧客の不安に対処するためにヘルプラインを設置することが必要だと氏は言う。

米調査会社Moor Insights & Strategyのシニアアナリスト、Will Townsend氏は、調査が進んで侵害の詳細が明らかになっていけば、T-Mobile社は包み隠さず透明性を確保すると確信していると述べている。

ハッカー、3Gモバイルコアネットワークの設定ミスを悪用

攻撃者がどのようにして顧客データを含むT-Mobile社のサーバにアクセスしたのかはまだはっきりしておらず、少なくとも確証はない状態だ。「問題なのは、T-Mobileにも分からないということです」とKerravala氏は言う。「何のデータが盗まれたのかをT-Mobileが明確に発表できるようになるまでは、ハッカーらは情報を持っていると考えていいと思います」

Townsend氏の説明によると、総合的に見て、今回の攻撃は「ランサムウェアに関する問題の拡大と、ハッカー側の巧妙化を示している」という。「ハッカーらがT-Mobileにアプローチするのではなく、データの売却を提示したことを考えると、今回の事件は従来のランサムウェア攻撃とは異なります。ですが、状況としては似ています」

サイバーセキュリティの調査報道ジャーナリスト、Brian Krebs氏が伝えたところによると、今回のハッキングの背後にいる人物は、IoTボットネット「Satori」に関わりを持っているという。氏はブログ記事の中で、「今回の侵入は、Twitter上で@und0xxedというアカウントが詳細をツイートし始めたことで明らかになった」と書いている。

Krebs氏からダイレクトメッセージで連絡を受けたアカウント所有者は、自らは盗難には関与しておらず、盗まれたT-Mobile社の顧客データの買い手を見つけることを仕事としていると話した。

「Und0xxedによると、ハッカーらはT-Mobileのワイヤレスデータネットワークに穴を発見し、2ヵ所の顧客データセンターへのアクセスを手に入れたという。侵入者たちはそこから合計100ギガバイトを超える多数の顧客データベースをダンプすることができた」 とKrebs氏は伝えている。

Teral氏の説明によると、通信ネットワークは24時間365日の体制で監視が行われており、大規模なネットワークでは毎日多くの攻撃に遭遇するが、こうした攻撃は特定のツールやセキュリティゲートウェイによって軽減されているという。「とはいえ、各ネットワーク要素が適切に設定されている限り、それでうまくいきます。1つでも適切に設定されていないネットワーク要素があればそれが侵入口となり、いずれハッカーに発見されることになります」

ITセキュリティジャーナリストのJeremy Kirk氏が伝えたところによると、今回のハッキングを行った人物は、GPRSサポートゲートウェイノードが設定ミスによってインターネットに公開されていたのを利用して不正アクセスを行ったと主張しているという。Kirk氏はTwitterにスクリーンショットを投稿し、3Gモバイルコアネットワークがどのように侵害されたかを示している。

また、ベラルーシを拠点とするこのハッカーがKirk氏に話したところでは、オラクル製サーバを含む100台以上のサーバに対してSSH（セキュアシェル）によるクレデンシャルスタッフィング攻撃も行ったという。

「残念ながら、これが私たちの住む世界です。モバイルネットワーク技術がどの世代（G）であろうと――5Gではネットワーク機能がディスアグリゲーションされており、障害や侵害が自動検知された時の分離が簡単であるためより安全だとされていますが――ヒューマンエラーがなくなることはありません」とTeral氏は説明する。

Townsend氏によると、T-Mobile社は加入者データの保護、マルウェアの防止、フィッシング無効化のためにさまざまなツールを使用しているという。その中の1つが人工知能（AI）を組み込んだ独自の「Scam Shield」技術で、これはフィッシング無効化のためのものだ。

T-Mobile社とその顧客にとって残念なことに、こうした対策やツールは今回の攻撃を防ぐことはできなかった。

責任はT-Mobile社の誰にあるのか

T-Mobile社の最高幹部16人の中には直接ネットワークセキュリティの責任を負っている人物はいないようだ。実際、「セキュリティ」という言葉が唯一記載されているのはSVP兼CIOのBrian King氏の略歴ページで、これは氏が以前、米連邦通信委員会（FCC）のセキュリティ・信頼性・相互運用性協議会（CSRIC）の議長を務めていたことについて触れているのみだ。

T-Mobile社のネットワークセキュリティを担当する最上級の幹部は、おそらくSVP兼CSO（最高戦略責任者）のTimothy Youngblood氏だろう。デジタルセキュリティ担当SVPを務めていたBill Boni氏は先月退任している。氏は2009年後半にCISO（最高情報セキュリティ責任者）として入社している。

「ごく基本的なことですが、T-Mobileは顧客データをセグメント化し、侵害の影響を最小限に抑える方法を見つける必要があります。また、データがSMSスワップ攻撃に利用されるのを防ぐため、ユーザーの認証方法を変更する必要もあると思います」とKerravala氏は話す。

SMSベースの認証は「今もモバイル業界にとって大きな問題となっています。これは変える時期に来ています」 とも付け加えた。

「これを防ぐことははるかに大きな問題で、針山の中から針を見つけるような、洗練されたAIツールが必要です。T-Mobileは最先端の技術を持っているのには違いないとは思いますが、認証とレスポンスをAIシステムに転換する必要があります」とKerravalaは結論している。

https://www.sdxcentral.com/articles/news/t-mobile-faces-largest-carrier-breach-on-record/2021/08/