Hackers Downloaded Call Logs from Cloud Platform in AT&T Breach
2024/07/12 InfoSecurity — 通信大手の AT&T が明らかにしたのは、脅威アクターにより、顧客データが不正にダウンロードされたことだ。サードパーティのクラウド・プラットフォーム上の AT&T のワークスペースから、ハッカーがデータを不正ダウンロードしたことを、7月12日に発表した声明で同社は認めている。米証券取引委員会 (SEC) への提出書類によると、同社は 2024年4月19日の時点で、通話ログが不正にアクセス/コピーされたことを初めて知ったようだ。
AT&T は、「当社の調査によると、漏洩したデータに含まれるのは、AT&T の大半の携帯電話顧客、AT&T の MVNO 顧客の、通話とテキストに関する AT&T のログ・ファイルである。このインシデントが発生したのは、2022年5月1日〜2022年10月31日であり、そこには AT&T の 固定電話顧客も含まれる」と述べている。
Rapid 7 の Senior Director である Christiaan Beek は「AT&T における情報漏洩の被害は甚大であり、データが流出した顧客たちが心配するのは当然のことである。それぞれの顧客は細心の注意を払い、フィッシング攻撃などの詐欺行為の可能性に警戒する必要がある。盗まれたデータの種類によっては、SMSフィッシングが蔓延する可能性もある」と述べている。
このデータには、通話やメールの内容は含まれていないが、前述の期間において AT&T および MVNO で通信を行った、の携帯電話番号が記録されている。AT&T は、「社会保障番号や生年月日など、個人を特定できる情報が影響を受けたとは考えていない。また、データが公開されているとは思わない。AT&T の業務は影響を受けていない」と述べていた。
SEC への提出書類の中で、このインシデントを受けて AT&T は、「不正アクセスのポイントを閉鎖するなど、追加のサイバー・セキュリティ対策を講じた。そして、現在および過去において、影響を受けた顧客に通知する」と述べている。
なお、2024年4月にも、AT&T の 7300万件の顧客記録がダークウェブ・マーケットプレイスに流出しているが、今回のインシデントとは無関係である。
AT&T 情報漏えいの原因となった Snowflake
SEC への報告によると、影響を受けたサードパーティーのクラウド・プロバイダーは Snowflake であったようだ。
Advanced Cyber Defence Systems (ACDS) の CTO である Elliott Wilkes は、「今回の情報漏えいは、Snowflake アカウントに保存されていた AT&T のデータを、攻撃者が流出させた結果だと思われる。Snowflake のアカウントから流出したすでに膨大なデータに対して、今回のインシデントの影響を受けた、1億人以上の顧客が加わることになりまる。Snowflake に対する攻撃は、これまでにおいて、最大規模のデータ流出にいたる可能性がある」と述べている。
データウェアハウス・プラットフォームである Snowflake が、ユーザーに影響を与えるデータ盗難の中心となっている。一連のインシデントには、2024年6月の初めに、サードパーティのクラウド・データベース環境内での不正行為を確認した、TicketMaster の件も含まれる。現在までに、Snowflake を使用している 160以上の組織が、潜在的に暴露されていると通知されている。
Snowflake インシデントに関する Mandiant 分析では、UNC5537 と呼ばれる金銭的動機のある脅威アクターが、被害者の一部からら盗んだデータを、サイバー犯罪フォーラムで販売するよう宣伝していることが判明している。Mandiant の研究者たちによると、この UNC5537 は、盗み出した顧客認証情報を悪用することで、Snowflake の顧客インスタンスを組織的に侵害しているという。
2024年6月の時点で、以前に米国家安全保障局に在籍しており、いまは IANS Research のメンバーである Jake Williams は、あらゆるユーザー組織に対して、Snowflake に保存されている全データのインベントリを作成するよう促している。さらに、Snowflake インスタンスへの侵入で、特にサードパーティにより管理されているインスタンスへの侵入で、悪用された可能性のある API キーやアクセス・トークンなどの認証情報を、積極的にローテーション/無効化する必要があると指摘している。
さらに Williams は、「あなたのビジネスにおおいて、Snowflake 顧客との関連性の有無に関わらず、ベンダー管理チームはサービス・プロバイダーに連絡を取り、この問題を彼らが認識しているかどうかを確認する必要がある。まず、貴社のデータが、Snowflake インスタンスの何処かにあるかどうかを尋ねてほしい。また、他者と共有するデータが、Snowflake インスタンスに存在しないと断言できるかどうかも尋ねてほしい」とアドバイスしている。
注目される MFA
Snowflake に関連する大半のインシデントにおいて、多要素認証 (MFA) は有効化されておらず、認証に必要な情報は、有効なユーザー名とパスワードだけだったという。
Elliott Wilkes は、「ソフトウェア・ベンダーおよび、クラウドやインフラのプロバイダー、そしてテクノロジー企業などにとって、デフォルトとして MFA を、早急に導入する必要がある。それは、コストを上乗せしたプレミアム機能ではなく、標準的なセキュリティだと捉える必要がある」と述べている。
Snowflake の CISO である Brad Jones は、6月の情報更新において、すでに同社は、顧客サイドにおける高度なセキュリティ管理としての MFA および、ネットワーク・ポリシーの導入を義務付ける、計画を策定中であると述べている。
Snowflake に関連する AT&T への侵害ですが、第一報は同じく 2024/07/12 の「AT&T モバイルの大半の call/text ログが盗まれる:2022年に発生していた Snowflake 攻撃とは?」となっています。重複する部分もありますが、AT&T のアナウンスメントが十分とは思えないので、こちらの、UNC5537 が特定されている、InfoSecurity の記事も訳してみました。このインシデントには、続報がありそうな気がします。
2024/07/12:AT&T モイルの大半の call/text ログが盗まれる:Snowflake
2024/06/28:Ticketmaster がデータ侵害通知書:Snowflake インシデント
2024/06/25:Neiman Marcus 侵害:Snowflake ハッキングで情報漏えい
2024/06/22:MFA だけではクラウド・データ保護は無理:Snowflake の教訓
2024/06/21:Santander 報告:情報漏えいと Snowflake の関係は?
2024/06/14:Snowflake 侵害をトリアージ:YetiHunter ハンティング・ツール
2024/06/13:Truist Bank から盗まれたデータが $1 M で販売されている
2024/06/10:BlackBerry Cylance のデータがダークウェブで販売されている
2024/06/01:Apache Log4J2 脆弱性の悪用:Sisense/Snowflake への侵害
2024/05/31:Snowflake のデータ侵害:Santander/Ticketmaster
IoT OT Security News 
You must be logged in to post a comment.