5000万人の顧客データをT-Mobileから盗み出したハッカーがモバイルキャリアについて「ヤツらのセキュリティはひどい」と発言

世界有数のモバイルキャリアであるT-Mobileが、約5000万人分の顧客データをハッキングにより盗み出されてしまいました。このハッキングを行ったという人物がメディアのインタビューに応じ、「セキュリティはひどいものだった」と語っています。

T-Mobile Hacker Who Stole Data on 50 Million Customers: ‘Their Security Is Awful’ - WSJ
https://www.wsj.com/articles/t-mobile-hacker-who-stole-data-on-50-million-customers-their-security-is-awful-11629985105

T-Mobile hacker speaks out in WSJ interview, says carrier has 'awful' security - 9to5Mac
https://9to5mac.com/2021/08/26/t-mobile-hack-awful-security-interview/

2021年8月16日、T-Mobileがユーザー1億人超分の顧客データを流出させた可能性が報じられました。これについてT-Mobileはハッキングされたことを認めたものの、漏えいしたデータについては引き続き調査を続けるとしていました。その後の詳細な調査の末、流出したのは4780万人分の顧客データであること、そして流出したのは一部のユーザーの社会保障番号および運転免許証、T-Mobileアカウントの暗証番号などであったことを公表しています。

1億人分の個人情報をT-Mobileが漏えいか - GIGAZINE

約5000万人分の顧客情報を盗み出したのは、数年前にトルコに移住したという21歳のアメリカ人ハッカーであるジョン・ビンズ氏。ハッキングの詳細が明らかになる以前からウォール・ストリート・ジャーナルとやりとりをしていたというビンズ氏は、複数の証拠を提示して自身がハッキングを行ったことを示した上でインタビューに答えました。

ビンズ氏がT-Mobileのシステムをハッキングした方法は、「T-Mobileの既知のインターネットアドレスに潜む脆弱性を突く」というものでした。同氏は2021年7月頃に、セキュリティ保護されていないルーターを発見し、これに保存された資格情報を用いてT-Mobileのサーバーにアクセスし、顧客情報を盗み出したと語っています。

詳細な手口は明かされていませんが、ビンズ氏は「一般向けに公開されている簡単なツールを使用して、T-Mobileのインターネットアドレスの弱点を探した」と述べています。

前述の方法でT-Mobileのワシントンにあるデータセンターにアクセスすることが可能になったビンズ氏によると、データセンターには100台を超えるサーバーが存在しており、初めはあまりに多くのデータにアクセス可能となったためパニックに陥ったとのこと。また、比較的簡単な方法で大量のデータにアクセス可能となったことから、「彼らのセキュリティはひどい」とビンズ氏は感想をこぼしています。

なお、ビンズ氏が数千万人分の顧客データが保存されているサーバーにアクセスできるようになった所要時間は「約1週間」で、8月4日にサーバー上から大量の顧客データを盗み出したそうです。

ビンズ氏はT-Mobileをハッキングした理由について、「注目を集めるため」と語っています。インタビュー中、ビンズ氏はたびたび「自身がアメリカ当局によりドイツの偽の精神病院に連れていかれるという、違法な誘拐事件の犠牲者となった」と訴えており、この事件を世間に知らしめるためのハッキングであったとしています。加えて、「私には偽の誘拐事件の話をでっち上げる理由がありません。FBIの内部からこの事件の詳細がリークされることを期待しています」とも語りました。

自身の動機を語ったビンズ氏ですが、盗んだデータを販売したのか、あるいはT-Mobileをハッキングすることで第三者から報酬を得たのかなどは明らかにしていません。