AT&T のデータ侵害：サードパーティ・ベンダーがハッキングされた

AT&T is notifying millions of customers of data breach after a third-party vendor hack

2023/03/10 SecurityAffairs — AT&T が発表し内容は、同社のサードパーティー・ベンダーがハッキングされ、個人情報の一部が漏えいしたことを、数百万人の顧客に通知したというものだ。不正アクセスを受けた CPNI (Customer Proprietary Network Information) とは、顧客が購入した電気通信サービスに関連する情報のことであり、アカウントごとの回線数や顧客が加入しているワイヤレスプランなどのデータが含まれるという。

その影響を受けた顧客に対して、AT&T が送信した通知には、「最近、不正な人物がベンダーのシステムに侵入し、CPNI (Customer Proprietary Network Information) にアクセスしたことが判明した。しかし、社会保障番号やクレジットカード情報などの個人情報や金融情報がアクセスされていないので、安心してほしい」と記されている。

具体的に言うと、クレジットカード・データなど金融情報や、社会保障番号／アカウントパスワードなどの機密情報は、流出したデータには含まれていないという。AT&T は顧客に対して、「このベンダーがハッキングされたのは 2023年1月のことであり、攻撃者が悪用した脆弱性は修正され、当社のシステムは侵害されていない」と説明している。

AT&T は、連邦法執行機関に対しても通知を行っているが、このデータ侵害の影響を受けた顧客の数は、明らかにされていない。つまり、法執行機関への報告には、顧客のアカウントに関する具体的な情報は含まれておらず、不正アクセスが発生したことだけが記載されているようだ。

しかし、BleepingComputer によると、約 900万件のワイヤレス・アカウントが影響を受けたという。同社は顧客に対して、アカウントに “extra security” のパスワード保護を無償で提供するとしている。

2021年8月には、AT&T の顧客約 7000万人の個人情報を含むデータベースを、ShinyHunters グループが入手したと主張したが、同社はシステムから盗まれたことを否定している。

このブログに AT&T が登場するのは、初めてのことだと思います。サプライチェーンのサードパーティからの情報流出のようですが、この辺りのことについては、2023/02/01 の「サプライチェーン調査：3rd パーティーから 4th パーティーへの可視化の拡大が不可欠」と、2023/02/21 の「サードパーティのリスク管理という難題：自動化のための 3−Step で捉えてみよう」と、ご参照ください。とても重要なデータの分析や、問題点の整理などが行われています。また、よろしければ、カテゴリ SupplyChainAttack も、ご利用ください。