アメリカの大手通信キャリアが1億1000万人の顧客「ほぼすべて」の電話記録を盗まれたことが発覚

携帯電話やインターネット回線などを提供する大手通信企業のAT&Tは現地時間の2024年7月12日、サイバー攻撃により約1億1000万人いる顧客のデータを「ほぼすべて」盗み出されたと発表しました。

Unlawful Access of Customer Data - AT&T Bill & account Customer Support
https://www.att.com/support/article/my-account/000102979

AT&T says criminals stole phone records of 'nearly all' customers in new data breach | TechCrunch
https://techcrunch.com/2024/07/12/att-phone-records-stolen-data-breach/

American Hacker in Turkey Linked to Massive AT&T Breach
https://www.404media.co/american-hacker-in-turkey-linked-to-massive-at-t-breach/

AT&Tは2024年3月30日にも大規模なサイバー攻撃により、7300万人分の個人情報が流出したことを認めました。流出データにはAT＆Tの顧客アカウントのパスコードが暗号化された形式で含まれていましたが、暗号化のランダム性が不十分なため、漏えいしたデータセットの周辺情報を利用することで4桁のパスコードを推測できる状態でした。そのため、流出を認めるとともにAT&Tは、顧客が設定したパスコードを一括でリセットすることで対応しています。

「合計7300万人分の個人情報がダークウェブに流出した」として大手通信企業のAT＆Tが顧客アカウントのパスコードを強制リセット - GIGAZINE

7月12日に発表されたAT&Tの声明によると、新たに盗まれたデータには顧客の携帯電話と固定電話の電話番号のほか、2022年5月1日から2022年10月31日までの通話やテキストメッセージの記録が含まれているとのこと。また、AT&Tの顧客だけではなくAT&Tのネットワークを使用している他の携帯電話会社の電話サービスを利用している顧客の通話記録も含まれているそうです。通話やメッセージの内容は盗まれたデータに含まれていないものの、通話の長さやテキストの合計数、通話をした場所やメッセージを送信した場所のおおよその位置情報など、メタデータは含まれています。

AT&Tの広報担当者であるアンドレア・ヒューグリー氏はこの件を報じたTechCrunchに対し、「データ漏洩について、AT&Tの顧客約1億1000万人に通知する予定です」と語りました。また、顧客に対して説明したページで、自分のアカウントが流出したかどうか確認できる方法を示しています。

AT&Tによると、今回のデータ侵害はクラウドデータ大手のSnowflakeの顧客を狙った攻撃が2024年6月上旬から続いており、その一環でSnowflakeのデータから盗まれたもので、3月末に発生したサイバー攻撃とは無関係であるとのこと。なぜAT&Tの顧客データがSnowflakeに保存してあったのかは、ヒューグリー氏は明らかにしていません。

テクノロジー系メディアの404Mediaが報じた内容によると、アメリカ出身で過去にトルコで逮捕されたジョン・ビンズ容疑者が、AT&Tも含む大規模なデータ侵害に関与している可能性があるとのこと。Snowflakeからデータ盗難にあった他の企業は、盗まれたデータがダークウェブに公開されていますが、AT&Tのデータは記事作成時点では公開されていないと考えられています。

コミュニティニュースサイトのHacker Newsでは本件について、侵害が実質的な影響を及ぼさない限り企業は最低限の対策しかしないため、データ侵害についての法律をもっと厳格にすべきという意見や、そもそも電話番号などを超えた通話記録やメッセージのメタデータなどを通信会社が保存していること自体がおかしいという指摘など、さまざまな議論が交わされています。