「合計7300万人分の個人情報がダークウェブに流出した」として大手通信企業のAT＆Tが顧客アカウントのパスコードを強制リセット

現地時間の2024年3月30日、携帯電話やインターネット回線などを提供する大手通信企業のAT＆Tが、約760万人に及ぶアクティブアカウントの保有者と約6540万人分の元アカウント保有者の個人情報が流出したことを認めました。これに対処するため、AT＆Tは影響を受けたアカウントのパスコードを強制リセットしたと報告しています。

AT&T Addresses Recent Data Set Released on the Dark Web
https://about.att.com/story/2024/addressing-data-set-released-on-dark-web.html

Keeping Your Account Secure - AT&T Bill & account Customer Support
https://www.att.com/support/article/my-account/000101995?bypasscache=1/

AT&T confirms data for 73 million customers leaked on hacker forum
https://www.bleepingcomputer.com/news/security/atandt-confirms-data-for-73-million-customers-leaked-on-hacker-forum/

AT&T resets account passcodes after millions of customer records leak online | TechCrunch
https://techcrunch.com/2024/03/30/att-reset-account-passcodes-customer-data/

AT＆Tは3月30日に公開した声明で、「約2週間前にダークウェブで公開されたデータセットに、AT＆Tのデータ固有の項目が含まれていることを突き止めました」と述べ、AT＆Tあるいはベンダーから顧客の個人情報が流出したことを報告しました。

すでにAT＆Tは、社内外のサイバーセキュリティ専門家の支援を受けて調査を開始しています。予備分析によると、データセットは2019年以前のものと思われ、記事作成時点でアカウントを持っている約760万人分と、過去にアカウントを持っていた約6540万人分のデータが含まれているとのこと。

今回ダークウェブで公開されたデータセットは、2021年に「AT＆Tの7000万人分の個人情報を含むデータベースを盗んだ」と主張する著名なハッカーがハッキングフォーラムで販売したデータセットとみられています。データにはAT＆Tの顧客名、自宅住所、電話番号、生年月日、社会保障番号などが含まれていると報じられています。

当時のAT＆Tは、データは自分たちのものではなくシステムも侵害されていないと否定していましたが、今回のリークでようやくAT＆Tはデータ流出を認めました。しかし、依然としてAT＆Tはデータセットの流出につながるシステムへの不正アクセスの証拠は見つかっておらず、流出したデータがAT＆Tのものかベンダーのものかはわかっていないと主張しています。

流出データを分析したセキュリティ研究者のサム・クロリー氏はテクノロジー系メディアの TechCrunchに、流出データにはAT＆Tの顧客アカウントのパスコードが暗号化された形式で含まれていると述べています。しかし、暗号化されたデータのランダム性が不十分なため、漏えいしたデータセットの周辺情報を利用することで4桁のパスコードを推測できるそうです。

人々が4桁のパスコードを設定する際、社会保障番号や電話番号、郵便番号、生年月日など自分にとって意味のある数字を使うことは珍しくありません。そのため、クロリー氏は暗号化されたパスコードをユーザーの生年月日や電話番号、郵便番号、生年月日といった周辺データと関連付けることで、リバースエンジニアリングの要領で元のパスコードを一致させられたと報告しています。

TechCrunchはこの件を3月25日にAT＆Tへ通知し、その後AT＆Tはパスコードの一括リセットを行いました。実際にAT＆Tが公開しているサポートページを見ると、「この影響を受けるアクティブなアカウントがある場合は、すでにパスコードがリセットされています」と記されています。