セキュリティ
文:Dan Meyer

米Tモバイル 、サイバーセキュリティの「信頼」を追求

米Tモバイル 、サイバーセキュリティの「信頼」を追求

米通信大手のTモバイルUS(T-Mobile US)は、サイバーセキュリティの「トラスト・センター」を公開し、顧客情報を漏洩させたいくつかのハッキング事件を受けて精査されていた同社のサイバーセキュリティ態勢をより明確に示した。

新たに公開されたサイトでは、国際標準化機構(ISO)27001認証、System & Organization Control(SOC)2監査レポートなど、同社のセキュリティ関連文書にアクセスできる。また、クラウドインフラをホスティングするAmazon Web Services(AWS)を採用していることや、侵入防御システム(IPS)、リアルタイムのCVE(Common Vulnerabilities and Exposures)ベースの脅威保護および検出システム、SIEM(Security Information & Event Management)ソリューションの使用など、セキュリティシステムに使用しているさまざまなベンダーも紹介している。

TモバイルUSの上級副社長(SVP)兼最高情報セキュリティ責任者であるJeff Simon(ジェフ・サイモン)氏は、最近ISO認証とSOCタイプ2レポートを取得したことを同社のブログで発表した。

「この報告書は、米国公認会計士協会(AICPA)が定める最高基準を満たしていることを保証するために、主要なシステムとデータのセキュリティ、可用性、処理の整合性、機密性、プライバシーについて、3ヶ月間にわたって独立した立場で分析を行ったものです」と氏は同社の取り組みについて書いている。

また、アプリケーションセキュリティを手掛けるImmuniWeb社やサイバーセキュリティ評価会社Bitsight社と協力し、改善の可能性がある分野をベンチマークしていること、最近開始したバグ報奨金プログラムを刷新し、考えられる攻撃ベクトルをさらに具体化していることに言及した。

「本日時点で、当社はImmuniWeb社から“A”評価を獲得し、Bitsight社から780/900のスコアを獲得しました」と氏。「改善の余地はありますが、これらのスコアは過去数年間の当社の努力の成果を裏付けるものです」

サイバーセキュリティに苦戦

Simon氏の同社でのキャリアは、2023年5月にchief sustainability officer(CSO)として同社に入社したことから始まった。それ以前は、フィンテックセキュリティ企業のFISに13年以上在籍していた。

Simon氏が同社に入社したのは、数年にわたり同社を襲ったサイバーセキュリティ侵害事件の一つが発生した直後のことだった。その攻撃は、836人の顧客に影響を与えた比較的小規模な侵害だった。

しかしこの事件は、2023年初頭に報告されたはるかに大規模な攻撃の直後に起こった。その事象は発覚されるまで1ヶ月以上続き、3,700万人のポストペイドとプリペイドの顧客、および同社を通じて運営されているGoogleのFiサービスの顧客に影響を与えた。

同社は、米国証券取引委員会(SEC)に提出した書類の中で、攻撃者がアクセスできたのは「基本的な顧客情報」であると説明し、「そのほぼ全てが、マーケティング・データベースやディレクトリで広く入手可能なタイプのものでした」と述べた。

アクセスされた情報には、氏名、請求先住所、電子メール、電話番号、生年月日、口座番号、口座の回線数やサービスプランの特徴などの情報が含まれていた。同社は、「パスワード、支払カード情報、社会保障番号、政府発行のID番号、その他の金融口座情報は漏洩していません」と明言した。

「このような事件がお客様に影響を与えることは理解しており、このような事態が発生したことを遺憾に思っています」との声明を加えた。「残念ながら、他の企業と同様、当社もこの種の犯罪行為から免れることはできませんが、サイバーセキュリティプログラムの強化に、複数年にわたる多額の投資を継続する予定です」

米国の民間格付け会社のムーディーズ・インベスターズ・サービスの副社長(VP)兼シニアアナリストを務めるNeil Mack(ニール・マック)氏は、この攻撃について「TモバイルUSのサイバーリスク・ガバナンスと管理手法に疑問を投げかけるものです」と指摘した。

「これらのサイバーセキュリティ侵害は、本質的には体系的なものではないかもしれませんが、TモバイルUSにおけるその発生頻度は同業他社と比較して憂慮すべき異常値で、顧客行動に悪影響を及ぼし、解約を急増させ、米連邦通信委員会(FCC)やその他の規制当局の監視の目を集める可能性がある」とMack氏は書いている。

この攻撃は2021年半ばに発生した、あるアナリストによれば「キャリア史上最大の情報漏洩」であったかも知れないと言う。TモバイルUSは昨年、このサイバーセキュリティ侵害で被害を受けた消費者に3億5000万ドルの補償金を支払うことに合意し、今後18ヶ月間にわたってデータセキュリティに1億5000万ドルを費やすと発表した。

eTモバイルUSのCEO Mike Sievert(マイク・シーベルト)氏は、同社の2022年通期の決算説明会で、この投資によって直近の攻撃の爆発半径を縮小することができたと述べた。

「犯罪者が顧客情報を入手できたことは残念ですが、私たちの積極的なサイバーセキュリティ計画は、世界有数の専門家の支援を得て、この分野で誰にも負けない企業になるという目標を達成できると確信しています」と述べた。
T-Mobile US looks for cybersecurity ‘trust

Dan Meyer
Dan Meyer Executive Editor

電気通信、5G、無線アクセスネットワーク(RAN)、エッジネットワーキングを専門とし、電気通信分野を20年以上担当している。SDxCentral入社以前は、RCR Wireless Newsの編集長を務めていた。
連絡先:dmeyer@sdxcentral.com
Twitter:@meyer_dan
LinkedIn:dmeyertime

Dan Meyer
Dan Meyer Executive Editor

電気通信、5G、無線アクセスネットワーク(RAN)、エッジネットワーキングを専門とし、電気通信分野を20年以上担当している。SDxCentral入社以前は、RCR Wireless Newsの編集長を務めていた。
連絡先:dmeyer@sdxcentral.com
Twitter:@meyer_dan
LinkedIn:dmeyertime

記事一覧へ