AT&Tハッキングで顧客の電話番号が「ほぼすべて」公開される

AT&Tは7月12日、2022年5月1日から10月31日まで、および2023年1月2日までの「ほぼすべての」顧客データが2024年4月にサードパーティのプラットフォームに流出したと公表した。データが流出した顧客には通知される予定だ。AT&Tは、サイバー攻撃が行われたアクセスポイントは保護されており、データはもはやアクセスできないと述べている。

更新：7月14日、The Vergeは、AT&Tが窃取したデータを削除する見返りに、脅威アクターに5.7ビットコイン（約37万4000ドル）を支払ったと報じました。この脅威アクターは、Snowflakeに侵入してデータを入手したShinyHuntersグループの一員とみられています。支払いは仲介業者を通じて行われました。 

脅威アクターは電話番号と通話時間にアクセスした

AT&Tによると、脅威アクターは通話記録とテキストメッセージ記録にアクセスし、顧客がどの電話番号とやり取りしたか、場合によっては携帯電話の基地局ID番号も入手したという。漏洩には携帯電話と固定電話の両方の顧客が含まれていた。

AT&Tは顧客への通知の中で、攻撃者は「特定の日または月における通話またはテキストメッセージの件数と通話時間の合計」を確認できたが、通話やテキストメッセージの内容は確認できなかったと述べた。社会保障番号や生年月日といった個人を特定できる情報も含まれていなかった。しかし、同社は、脅威アクターが電話番号を利用して、その利用者の名前を特定できる可能性があると指摘した。

AT&Tは4月にこの攻撃を発見した

AT&TがSECに提出した事件に関する書類によると、AT&Tが初めて攻撃に気付いたのは4月19日、「脅威の担い手が」データにアクセスしたと主張した後だった。

参照: 7 月 4 日、別のサイバー攻撃により、オンライン アカウントのパスワード約 100 億件が侵害されました。

The Vergeによると、脅威の攻撃者は、6月のサイバー攻撃でも使用されたデータウェアハウス・プラットフォームであるSnowflakeを通じてデータにアクセスしたという。

AT&Tは通知の中で、サイバー攻撃に関連して1人が法執行機関に逮捕されたと述べた。

AT&Tは、比較的新しいForm 8-Kを用いてSECに侵害を報告しました。2023年12月に施行されたこの報告書では、SECはサイバーインシデントを経験した上場企業に対し、それが「重大な」インシデントである場合、このForm 8-Kを用いて報告することを義務付けています。この開示の一環として、AT&Tは4月のサイバー攻撃が「AT&Tの財務状況または業績に重大な影響を与える可能性は合理的に低い」と予測しました。

2024年5月31日、AT&Tはデータ漏洩により760万人の顧客のパスワードが漏洩したと発表しました。この2つの攻撃には関連性がないようです。

データが影響を受けたかどうかを手動で確認する方法

AT&Tの法人アカウントを管理しているお客様は、myAT&Tまたはプレミアビジネスプランのポータルで、データが影響を受けたかどうかを確認できます。法人アカウントおよび以前のお客様を含むすべてのお客様は、AT&Tのサポートページに掲載されているさまざまなオプションを通じて、電話番号に関するどのような情報が漏洩したかを正確に確認できます。

AT&Tのハッキングからビジネスリーダーが学べること

このような大規模な侵害は、企業がサードパーティベンダーやサプライチェーンへのリスクを認識することを改めて認識させる良い機会です。ビジネスリーダーは、エンドポイント検知・対応（EDR）やセキュリティ情報・イベント管理（SIEM）といったセキュリティツールの導入も検討し、データが盗難された場合に備え、復旧・バックアップ計画を策定しておく必要があります。

TechRepublic は、詳細情報を得るために AT&T に問い合わせました。

こちらもご覧ください

• 企業ネットワークやクラウドで使用されるRADIUSプロトコルにBlastRADIUSの脆弱性が発見される
• 2024年版、企業向けウイルス対策ソフト9選
• LinkedInレポートによると、Amazon、AT&T、Verizonが2024年のキャリア成長に最も貢献するテック企業に選出
• サイバーセキュリティ：さらに読むべき記事