AT&T で発生したデータ侵害：Snowflake データベースからデータが漏えいが原因

AT&T Breach Linked to American Hacker, Telecom Giant Paid $370k Ransom: Reports

2024/07/15 SecurityWeek — 先日に公表された、AT&T で発生したデータ流出は、トルコ在住のアメリカ人ハッカーが関与するものであり、盗まれた情報を確実に削除するために、同社は多額の身代金を支払ったようだ。7月12日に AT&T が公表したのは、同社における、ほぼ全てのワイヤレス顧客に影響が及ぶ、データ漏えいに見舞われたことである。同社によると、ハッキングによりデータが流出したのは、2022年5月1日〜2022年10月31日と、2023年1月2日移行の期間であり、その内容は顧客の call／text のログだという。データの流出元は、AT&T のサードパーティである、Snowflake のクラウド・プラットフォームだとのことだ。

流出したログには、call／text の回数や時間などが含まれており、影響を受けた顧客と通信していた、相手の電話番号が特定できるものだと、AT&T は説明している。なお、call／text 内容／タイムスタンプなどの、重要な個人情報には影響はなかったという。

AT&T は、「一連のデータには、顧客の名前は含まれていないが、一般に公開されているオンライン・ツールを使うことで、電話番号に関連する名前を割り出すことも可能である」と述べている。

同社は、「盗まれたデータが公開されているとは考えていない。また、少なくとも１人の容疑者が逮捕されたという情報を得た。当社では、およそ 1億1000万人の顧客に対して、この件について通知している」と述べている。

さらに、AT&T のハッキングに関する新たな情報が、7月14日に Wired から公開された。AT&T はデータの流出を防ぐために、5月の時点でハッカーに対して、$370,000 相当の bitcoin を支払った、と同誌は報じている。このハッキングの実行犯は、悪名高いグループ ShinyHunters のメンバーであり、取引の証拠を提供している。Wired は、他の送金記録に基づき、この証拠の裏付けを取っている。

ハッカーは AT&T に対して、$1M の身代金を要求したと報じられているが、最終的に遥かに低い金額で和解した。AT&T は、盗まれたデータが削除されたことを示す動画を、このハッカーから受け取ったとのことだ。

AT&T の顧客データは、データ・ストレージ・プラットフォームである Snowflake から盗まれたようだ。近ごろ、盗まれた顧客認証情報を悪用し、何百もの Snowflake インスタンスを標的とする攻撃が多発している。その被害者には、Ticketmaster／Santander Bank／Advance Auto Parts／Neiman Marcus などの大手企業が含まれる。この Snowflake 攻撃には、ShinyHunters グループが関与していると言われている。

しかし Wired が入手した情報によると、数年前からトルコに住んでいるアメリカのハッカーである John Binns も、AT&T のハッキングに関与しているという。彼は、2021年に発生した T-Mobile へのハッキングでマスコミに登場した。

彼は T-Mobile へのハッキング容疑で 2022年に起訴され、その後の 2024年5月に、トルコで逮捕されたと報じられている。AT&T が公式声明で逮捕された人物について言及したのは、そのためかもしれない。

また 404 Media は、Binns が AT&T のハッキングに関連していることを、複数の情報源から得たと報じている。

Wired によると、Reddington という研究者が、4月の時点で Binns から聞いたのは、数百万人の AT&T 顧客の通話ログを、Snowflake から入手したことだという。彼は、AT&Tとのデータの買い戻しの交渉を依頼され、Snowflake 侵害に関連する、他の被害者との交渉も担当したと主張している。

AT&T は、$370,000 の身代金を Binns に支払うことになっていたが、Binns がトルコで逮捕されたため、結局は ShinyHunters のメンバーに送金したと伝えられている。

Reddington によると、ShinyHunters のハッカーたちと Binns は、AT&T のデータベースをクラウド・サーバーに保存したが、身代金が支払われた後に削除したという。しかし、削除する前に、データのサンプルを複数の人物に送っていた可能性もある。

SecurityWeek は AT&T に確認を求めたが、同社はコメントを拒否した。

この、AT&T におけるデータ侵害については、2024/07/12 の「AT&T モイルの大半の call／text ログが盗まれる：Snowflake」と、「AT&T 侵害の現状：Snowflake からダウンロードしたデータの販売を呼びかける脅威アクターたち」に続いて、３本目の記事となります。Wired の取材により、AT＆T から 脅威アクターに対して、身代金が支払われていたことが明らかになりました。