セキュリティ
文:Dan Meyer

TモバイルUSとAT&Tに多額の罰金=サイバー攻撃の被害で

TモバイルUSとAT&Tに多額の罰金=サイバー攻撃の被害で

米通信大手のTモバイルUSとAT&Tが米国政府から忠告を受け、数百万ドルという多額の罰金を科された。サイバーセキュリティに関する過失があったためだ。貴重な消費者データを大量に抱えている通信事業者にとって、サイバーセキュリティが大きな課題になってきていることがうかがえる。

TモバイルUSへの制裁は厳しいものだった。同社は総額3,150万ドルの賠償金を支払うことに同意している。これは米国財務省への罰金支払いとサイバーセキュリティの強化費用を合わせた金額で、強化策については、ゼロトラストや耐フィッシング多要素認証といった、従来よりも堅牢な最新アーキテクチャを導入するなどの対策が進められる予定となっている。

また、同社のCISO(最高情報セキュリティ責任者)に対し、「サイバーセキュリティ態勢およびサイバーセキュリティに関する事業リスクについて、取締役会で定期報告する」ように求めている。

TモバイルUSでは2021年、2022年、2023年にもサイバーセキュリティ侵害が発生し、連邦通信委員会(FCC)が個別に調査していた。累計で数百万人の顧客の個人情報が流出している。

2021年の攻撃は大規模なもので(あるアナリストはキャリア史上最大のデータ侵害かもしれないと話している)、同社は被害に遭った個人ユーザーへの補償として3億5,000万ドルを支払うことに同意している。また、18か月間で1億5,000万ドルをデータセキュリティに費やすと表明していた。同社は謝罪し、セキュリティ企業のマンディアントやKPMGコンサルティングと契約を結んでいる。

こうした努力もその後の攻撃を防ぐことはできなかった。2023年早期の攻撃は1か月以上気づかれることなく、ポストペイド契約/プリペイド契約の顧客3,700万人のほか、TモバイルUSの回線を利用していたMVNO「Google Fi」の顧客にも被害が及んでいる。

当時、ムーディーズ・インベスターズ・サービスのバイスプレジデント兼シニアアナリスト、Neil Mack(ニール・マック)氏がリサーチノートを発表している。「Tモバイルで行われているサイバーリスクのガバナンスやマネジメントに対する問題提起になった」と主張した。

「Tモバイルに対するこうしたサイバーセキュリティ侵害は、系統だったものではないかもしれませんが、発生頻度としては他の通信事業者と比較しても憂慮すべき異常値になっています。顧客行動にマイナスに影響して解約が急増する可能性もありますし、(FCCなどの)規制当局の精査を受けることになるかもしれません」

TモバイルUSは今年、「トラストセンター」というWebサイトを新たに公開し、自社のサイバーセキュリティ態勢の全体像を明確に伝えるようにした。各種のセキュリティ文書やISO 27001認証書、SOC2監査報告書などが閲覧可能になっている。また、同社がセキュリティシステムで利用しているさまざまなベンダーも掲載されており、たとえばクラウドインフラにAmazon Web Services(AWS)を利用していることが確認できる。IPS(不正侵入防止システム)、CVE(共通脆弱性識別子)ベースのリアルタイム脅威保護、SIEM(シーム・Security Information and Event Management)といったシステムを使用していることも公開されている。

ブログでは、ISO認証とSOC2 Type 2報告書を取得したことをシニアバイスプレジデント兼CSO(最高セキュリティ責任者)のJeff Simon(ジェフ・サイモン)氏がアピールしている。

「この報告書を取得するに当たり、主なシステムとデータのセキュリティ/可用性/処理の完全性/機密性/プライバシーを、独立したサードパーティに3か月間かけて分析していただき、米国公認会計士協会(AICPA)が定める最高基準を満たしていることを確認しました」

また、イミュニウェブ(ImmuniWeb)とビットサイト(Bitsight)の協力を得て、改善できる部分を探すベンチマークを実施していること、最近立ち上げたバグ報奨金プログラムを改良し、考えられる攻撃ベクトルについてさらに情報を付加できるようにしたことも書かれている。

「本日時点では、イミュニウェブから「A」評価を、ビットサイトから900点中780点のスコアを頂いています」と氏。「改善の余地はまだありますが、当社がこの数年間、懸命に取り組んできた成果が実証されました」

AT&T、サイバーセキュリティ侵害で罰金1,300万ドル

Tモバイルほどではないが、AT&Tも1,300万ドルの罰金を科されている。クラウドデータプロバイダーのSnowflakeで保存していた顧客データを侵害されたためだ。

和解書には、AT&Tが自社で利用しているデータストレージベンダーに対し、顧客データを適切に取り扱うように確認することを怠ったと書かれている。同社は「サプライチェーンの完全性」を強化するため、もっと堅牢なデータガバナンスを導入することに同意した。

AT&Tは当初、5月上旬に米証券取引委員会(SEC)に対して今回のサイバー攻撃に関する報告書を提出しているが、この文書は7月12日まで公開されなかった。同文書によると、同社は4月19日に「脅威アクター」の存在を知らされたという。その人物は同社が利用しているサードパーティのクラウドプラットフォーム(後にSnowflakeと判明)にあるデータベースをハッキング、AT&Tの通話ログにアクセスしてコピーしたと主張した。

流出したとされる情報の中には、2022年5月1日~10月31日、2023年1月2日に行われた「顧客との電話/テキストによるやり取り」の記録が含まれていた。この中には、AT&TのモバイルユーザーとAT&T回線を利用しているMVNOのユーザー、ほぼ全員の通話/テキストの記録が含まれていたという。

AT&Tは、攻撃者が4月14日からデータにアクセスしており、同社が攻撃について知らされた6日後の4月25日までアクセス可能になっていたとする見解を報告している。攻撃を知った段階で、法律で義務付けられている通りに米司法省に通知しているが、侵害されたという情報を公開する時期については当局を交えて2度にわたって延期することになった。AT&Tのデータは4月1日よりも前からダークウェブに出回っていたという噂も流れている。

同社は攻撃に関与した少なくとも1人が拘束されたと考えており、「データが一般公開されたとは考えていない」としている。

John Stankey(ジョン/スタンキー)CEOは今回の侵害に対し、第2四半期決算説明会で遺憾の意を表明している。質疑応答の中で、「当社は皆さまの疑念を解消し、この問題を解決しなければなりません。私ほどがっかりしている人もいないでしょう」と語った。

氏によると、責任の一端は「現在の地政学的な情勢」にもあるという。このために「さらなる重圧がかかっている」と語った。今回のデータ侵害はロシアとつながりのあるグループ「シャイニーハンターズ」による犯行だと伝えられている。

「当社もそうですが、優良企業はみな、新しいことを学ばなければならなくなっています。新たな脅威が現れ、新たな環境に適応する必要に迫られているのです」

TモバイルUSとAT&Tが罰金を科されたわずか数か月前には、ベライゾンもFCCから1,600万ドルの罰金を科されている。子会社のトラックフォン(TracFone)でセキュリティ侵害があったためで、調査の結果、APIの脆弱性を悪用したデータ侵害だったことがわかっている。

T-Mobile US, AT&T slapped with hefty cybersecurity attack fines

Dan Meyer
Dan Meyer Executive Editor

電気通信、5G、無線アクセスネットワーク(RAN)、エッジネットワーキングを専門とし、電気通信分野を20年以上担当している。SDxCentral入社以前は、RCR Wireless Newsの編集長を務めていた。
連絡先:dmeyer@sdxcentral.com
X(旧Twitter):@meyer_dan
LinkedIn:dmeyertime

Dan Meyer
Dan Meyer Executive Editor

電気通信、5G、無線アクセスネットワーク(RAN)、エッジネットワーキングを専門とし、電気通信分野を20年以上担当している。SDxCentral入社以前は、RCR Wireless Newsの編集長を務めていた。
連絡先:dmeyer@sdxcentral.com
X(旧Twitter):@meyer_dan
LinkedIn:dmeyertime

記事一覧へ