T-Mobile のデータ侵害事件:ダークウェブでの個人情報の販売を NY OAG が警告

NY OAG warns T-Mobile data breach victims of identity theft risks

2022/03/03 BleepingComputer — New York State Office of the Attorney General (NY OAG) は、2021年8月に発生した T-Mobile のデータ流出事件の被害者に対し、盗まれた情報の一部がダークウェブで販売されたことで、個人情報の盗難リスクに直面していると警告を発した。この警告は、T-Mobile インシデントで影響を受けた個人が、個人情報盗難防止サービスから、自分の情報がオンラインで見つかったと通知されたことを受けて発せられた。つまり、影響を受けた消費者にとって、個人情報盗難のリスクが高まっている状況にあることが示唆されている。

New York Attorney General である Letitia James は、「大規模なデータ流出事件で盗まれた情報が悪人の手に渡り、ダークウェブ上で出回っている。いま、提供しているガイダンスは、個人情報の盗難を防ぐのに役立つ。すべてのニューヨーカーに対して、このガイダンスに従うことで、経済的な安全の維持を助言する」と指摘している。

NY OAG によるリスクのある消費者への助言は、大きな買い物や新しい口座の追加などから 24時間以内に警告される、クレジット・モニタリング・サービスを利用すべきというものだ。

また、Equifax/Experian/TransUnion のなどのクレジット・レポートの無料のクレジット・フリーズを設定し、盗まれた個人情報を使って ID 窃盗団が、新しいクレジットカードを作れないようにすることを推奨している。

さらに、被害に遭った顧客は、クレジット発行前に本人確認を行うようクレジット会社や金融機関に指示するため、ご自身のクレジットレポートに詐欺警告を設定することも可能です。

最後になるが、影響を受けた消費者は、クレジット・レポートに詐欺警告を表示することで、債権者と貸し手に対して、クレジットを発行する前に身元確認の追加の手順を実行するよう、指示することも可能である。

T-Mobile の顧客 5,400万人以上がデータ流出の被害に遭う

2021年8月に生じた T-Mobile の情報漏洩は、ある脅威アクターがハッキング・フォーラムで、約1億人分の個人情報を含むデータベースを売ると述べたことから表面化した。T-Mobile は、この情報漏洩を確認した後に、攻撃者が 5,460万人の現顧客/元顧客/見込顧客の記録を盗んだと発表した。

この事件で盗まれたデータには、社会保障番号/電話番号/名前/住所/生年月日/T-Mobile プリペイド PIN/運転免許証 ID 情報などが含まれている。幸いなことに、T-Mobile が主張するように、顧客の財務情報/クレジットカード情報/デビットカードなどの決済情報を、この攻撃者は盗まなかったという。

その当時に、T-Mobile の CEO である Mike Sievert は、このキャリアのネットワークをブルートフォースで突破するために使われたアクセスポイントを閉鎖し、この侵入による顧客データへの継続的リスクはないと、顧客に断言したという。

2022年2月に米連邦取引委員会 (FTC) は、2021年の統計データによると、詐欺により米国人は $5.8 billion 以上の損失を出したとし、前年の損失額と比較して 70% 以上の大幅増となったと発表している。昨年に FTC に提出された消費者報告には、約570万件のうちの約140万件が、個人情報盗難に関する報告だったと記されている。

この、T-Mobile の問題に関しては、2021年8月に「T-mobile 1億人分の顧客データが盗まれた:背景には FBI / CAI への報復が」と、「T-Mobile の1億人の個人情報流出事件:ブルートフォースで突破されたらしい」という記事をポストしています。また、2021年12月の「T-Mobile で SIM スワップ攻撃が発生:ただし詳細は不明」と、2月9日の「FBI 警告:SIM スワップ攻撃の拡大により数百万ドルが盗み出された」という記事もあります。

%d bloggers like this: