T-Mobileとその何百万もの顧客が新たなデータ侵害の被害者となった。今回の侵害は、同通信会社が使用するアプリケーションプログラミングインターフェースを悪用する方法を知っていたハッカーによって実行されたとみられる。
T-Mobileは1月19日、米国証券取引委員会への提出書類でこの侵害を明らかにし、影響を受けたAPIによって、3,700万人の現在の後払いおよび前払い顧客の名前、請求先住所、メールアドレス、電話番号、生年月日、T-Mobileアカウント番号、プランの詳細がハッカーに提供されたと指摘した。
ジャンプ先:
- T-MobileのSEC提出書類の詳細
- T-Mobileにとってデータ侵害は初めてではない
- T-Mobileのデータ侵害の原因はAPIの設定ミス
- T-Mobileの盗まれた顧客データはハッカーにとっての金鉱
- T-Mobile の顧客と API を使用する組織への推奨事項
T-MobileのSEC提出書類の詳細
同社は提出書類の中で、影響を受けたAPIの名称や、ハッカーがどのようにそれを悪用したかについては明らかにしていない。幸いなことに、T-Mobileによると、このAPIからは決済カード番号、社会保障番号、運転免許証番号、パスワード、PINなどの他の個人情報は漏洩していないという。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
同社によれば、侵入は昨年11月25日頃に始まり、発見後1日以内に悪意ある行為を阻止し、現在は法執行機関と協力してさらなる調査を行っているという。
T-Mobileにとってデータ侵害は初めてではない
データ侵害やハッキングは、T-Mobileにとって決して目新しい現象ではありません。過去数年間、同社は複数のセキュリティインシデントに見舞われてきました。例えば、2018年にはウェブサイトのバグにより誰でも顧客データにアクセスできてしまう事態が発生し、2021年には約5,000万人の個人データが漏洩した侵害が発生し、2022年3月にはサイバー犯罪グループ「Lapsus$」による一連の侵害が発生しました。
TモバイルはSECへの提出書類の中で、2021年に外部セキュリティプロバイダーと連携し、サイバーセキュリティ能力の向上を図るため、「複数年にわたる大規模な投資」を開始したと述べています。同社は「これまでに大きな進歩を遂げた」と主張し、サイバーセキュリティ強化のために今後も投資を継続すると付け加えました。
T-Mobileのデータ侵害の原因はAPIの設定ミス
「このようなデータ侵害の繰り返しは、組織の評判に重大な影響を与える可能性があります。T-Mobileは、大規模なデータ侵害の代名詞になりつつある組織と言えるでしょう」と、KnowBe4のセキュリティ意識向上推進者であるErich Kron氏は述べています。「今回のケースでは、APIの設定ミスが原因でしたが、これは、膨大な量のデータにアクセスするツールのセキュリティ確保に関するプロセスと手順が不十分であった可能性を示唆しています。」
「T-Mobileは膨大な数の顧客情報を収集・保管しているため、その情報の安全性を確保する責任もあるが、同社はこれまで何度もその責任を果たしていない。」
APIは、異なるシステムやアプリケーション間のインターフェースとして機能し、相互通信を可能にします。しかし、組織内で広く利用されているため、サイバー犯罪者にとって格好の標的となっています。APIスクレイピング攻撃を実行することで、ハッカーは組織の重要なデータや資産に直接アクセスすることが可能になります。
「APIは企業のデータへの高速道路のようなものです。高度に自動化されており、大量の情報へのアクセスを可能にします」と、Netwrixのセキュリティリサーチ担当バイスプレジデント、Dirk Schrader氏は述べています。「API経由でドメインから送信されるデータの量を監視する管理体制が整っていない場合、顧客データを制御できなくなります。」
T-Mobileの盗まれた顧客データはハッカーにとっての金鉱
ハッキングではクレジットカード情報や社会保障番号はアクセスされなかったものの、盗まれた情報はサイバー犯罪者にとって金鉱だとクロン氏は述べている。このデータを利用して、フィッシング、ビッシング、スミッシング攻撃を仕掛け、顧客がT-Mobileだけが知っていると思うような情報を参照することができる。攻撃が成功すれば、金銭窃盗や個人情報窃盗につながる可能性がある。
「T-Mobileの事件で流出したデータの種類は、ランサムウェア集団が潜在的な被害者に送るフィッシングメールの信憑性を高めることを可能にするだろう」とシュレーダー氏は述べた。「このようなデータセットは、個人のコンピュータや企業ネットワークへの最初の侵入経路を収集することに重点を置く、いわゆる初期アクセスブローカーと呼ばれる悪意のある攻撃者にとっても興味深いものとなるだろう。」
T-Mobile の顧客と API を使用する組織への推奨事項
今回の情報漏洩を受け、T-Mobileのお客様はパスワードを変更するだけでなく、同社を装ったり、T-Mobileのアカウントや情報に言及したりするメールには注意が必要です。予期せぬメールや迷惑メールには、誤字脱字、誤り、誤ったリンク、その他の誤解を招くような情報がないか、注意深く確認してください。
こうした種類の攻撃を防ぐには、APIを利用する組織は、APIの使用を誰が、何に、いつ、どの頻度で許可するかについて厳格な管理を実施する必要があるとシュレーダー氏は指摘する。ゼロトラスト・アプローチは、リクエストが検証されるまでネットワークの内外からのリソースへのアクセスを制限するため、攻撃対象領域を削減する最良の方法である。
「組織がデータサイロとコピーベースのデータ統合を削減し、最終的には排除して制御の基盤を確立するまで、こうした攻撃は続くでしょう」と、CinchyのCEO兼共同創設者であるダン・デマーズ氏は述べています。「実際には、CTO、CIO、CDO、データアーキテクト、そしてアプリケーション開発者が、アプリケーションやその他のサイロからデータを分離し、『ゼロコピー』のデータエコシステムを構築するという根本的な変化が起ころうとしています。」
デマーズ氏は、このようなサイロベースのセキュリティを追求したい組織は、ゼロコピー統合などの標準規格や、データウェア技術などのイノベーションに目を向けるべきだと述べている。これらはどちらも、制御の原則に基づくデータ中心のアプローチに重点を置いている。
次に読む: ゼロトラスト: イノベーションを加速し、デジタルビジネスを保護するデータ中心の文化 (TechRepublic)
