Verizon が $1.6 Million の和解金に合意:TracFone のデータ流出問題

Verizon to pay $16 million in TracFone data breach settlement

2024/07/23 BleepingComputer — Verizon Communications は、完全子会社である TracFone Wireless が 2021年の買収後に被った3件のデータ漏洩に対して、$1.6M の和解金を支払うことで、米連邦通信委員会 (FCC:Federal Communications Commission) と合意した。電気通信サービス・プロバイダーである TracFone は、Total by Verizon Wireless/Straight Talk/Walmart Family Mobile などを介してサービスを提供する企業である。


今回に発表された和解契約の背景には、民事罰として高額な罰金が請求されたことがある。ただし、それとは別に、今後における通信会社に対しては、顧客のデータ・セキュリティ・レベルを高めるための具体的な対策の実施が求められている。

複数のデータ漏洩

TracFone におけるデータ漏洩には、2021年〜2023年にかけて発生した、3件のインシデントが関連している。

1件目のインシデントは “Cross-Brand” インシデントと呼ばれ、2022年1月14日に TracFone により報告されたものだ。同社が、このインシデントを発見したのは 2021年12月だったが、調査の結果として判明したのは、2021年1月の時点から脅威アクターが顧客データにアクセスしていたことだった。

この脅威アクターは、個人情報 (PII:personally identifiable information) や顧客専有ネットワーク情報 (CPNI:customer proprietary network information) などの機密情報にアクセスし、不正なナンバー・ポーティング要求の承認を大量に行った。

先日に公開された、同意判決文書には、 「このインシデントに伴い、脅威アクターは、認証情報と一部の API に関連する特定の脆弱性を悪用した。これらの脆弱性を悪用することで、脅威アクターは、特定の顧客情報への不正アクセスを達成した」と記されている。

他の2件のインシデントは、TracFone の注文サイトに関するもので、それぞれが 2022年12月20日と 2023年1月13日に報告されている。いずれのケースでも、未認証の脅威アクターが脆弱性を悪用し、特定の CPNI や顧客データなどの注文情報にアクセスしていた。

同意判決文書では、「脅威アクターは、2つの異なる手口を使用して、脆弱性を悪用していた。彼らは、TracFone が1つ目の悪用のブロックに成功すると、2つ目の方法に切り替えた。その結果として、TracFone は 2023年2月までに、根本的な脆弱性の長期的な修正を余儀なくされた」と詳述されている。

流出した個人の数と SIM スワップ・インシデントに関しては、公開された同意協定文書では伏せられている。

この和解契約で TracFone に義務付けられたのは、2025年2月28日までに以下の対策を実施することである:

  • NIST や OWASP のような標準に準拠し、安全な API コントロールを実装し、セキュリティ対策を定期的にテストし更新することで、API の脆弱性を低減するための義務付けられた情報セキュリティ・プログラムを開発する。
  • SIM の変更およびポートアウト要求に対する安全な認証および、そのような要求を行う顧客への通知、番号移行 PIN の提供を含む SIM の変更とポートアウトの保護を実施する。
  • プログラムの有効性を確保するため、情報セキュリティの年次評価を実施し、2年ごとに独立した第三者による評価を受け、達成度と成熟度を評価する。
  • 従業員が顧客データを保護し、セキュリティ・プロトコルを遵守する能力を高めるために、プライバシー/セキュリティに関する意識向上のための研修を毎年実施する。

BleepingComputer は、Verizon と TracFone に対して、影響を受けた顧客の数を問い合わせたが、今のところ回答は得られていない。

同じく 7月23日の 「Oracle が $115M の支払いに合意:データ・プライバシーの争いに終止符」と比べると、ずいぶんと少額という感じがしますが、Oracle の場合には意図が見え隠れするのに対して、Verizon はインシデントという違いがあるのでしょう。ただし、この種の和解金としては高額だと、文中では指摘されています。よろしければ、Verizon で検索も、ご利用ください。