AT&T

AT&Tは、同社のSnowflakeアカウント上のオンライン・データベースから、脅威行為者が約1億900万人の顧客、つまり同社の携帯電話顧客のほぼ全員の通話ログを盗み出したという大規模なデータ侵害について警告している。

同社は、データが4月14日から2024年4月25日の間にSnowflakeアカウントから盗まれたことを確認した。

AT&Tは、金曜日の午前中にSECに提出したForm 8-Kの中で、盗まれたデータには、2022年5月1日から10月31日までと2023年1月2日に行われたほぼすべてのAT&Tのモバイル顧客とモバイル仮想ネットワーク事業者(MVNO)の顧客の通話とテキストの記録が含まれていると述べている。

盗まれたデータには以下が含まれる:

  • AT&Tの有線顧客および他の通信事業者の顧客の電話番号。
  • AT&TまたはMVNOのワイヤレス番号がやり取りした電話番号。
  • 相互作用の回数(例:通話またはテキストの回数)。
  • 1日または1ヶ月の通話時間の集計。
  • レコードのサブセットについては、1つまたは複数のセルサイト識別番号。

公開されたレコードには、通話やメールの内容、顧客名、社会保障番号や生年月日などの個人情報は含まれていない。

アクセスされたログには、顧客の身元を直接暴露するような機密情報は含まれていないが、通信メタデータを使用して一般に入手可能な情報と関連付けることができ、多くの場合、身元を容易に導き出すことができる。

同社によると、情報漏洩を知った後、サイバーセキュリティの専門家と協力し、法執行機関に通報したという。米司法省は、国家安全保障と公共の安全に対する潜在的なリスクを理由に、2024年5月9日と2024年6月5日の2回にわたり、AT&Tに公表を延期する許可を与えた。

「顧客データ漏洩の可能性を特定した直後、重要性の判断を下す前に、AT&TはFBIに連絡して事件を報告した。情報漏えいの性質を評価するにあたり、すべての関係者は、国家安全保障および/または公共の安全に対する潜在的なリスクを理由に、SEC規則項目1.05(c)に基づく公表を延期する可能性について協議した」とFBIは述べている。

「AT&T、FBI、および司法省は、1回目および2回目の遅延プロセスを通じて、FBIの捜査上の優位性を強化し、AT&Tのインシデント対応作業を支援するために重要な脅威情報を共有しながら、協力的に作業しました。

“FBIは、サイバー攻撃の被害者への支援を優先し、組織がサイバーインシデントの前に地元のFBI支局との関係を確立し、侵害された場合に早期にFBIに連絡することを奨励する。”

AT&Tは法執行機関と協力して関係者の逮捕に取り組んでおり、少なくとも1人はすでに逮捕されたと理解しているとしている。

AT&Tは、今後不正アクセスの試みを阻止するため、追加のサイバーセキュリティ対策を実施したと述べ、この事件の影響を受けた現在および以前の顧客には、近日中に通知することを約束した。

一方、AT&Tの顧客は、このFAQページに記載されているリンクをたどって、自分の電話番号のデータが流出したかどうかを確認し、盗まれた番号に関連するデータをダウンロードすることができる。

本日現在、AT&Tによると、アクセスされたデータが一般に公開された形跡はなく、AT&Tが今年初めに確認した、5100万人の顧客に影響を与えた2021年のデータ流出事件とは無関係だという。

Snowflakeデータ盗難攻撃

AT&Tは、漏洩した認証情報を使用した最近のデータ窃盗攻撃の波の一部として、データがSnowflakeアカウントから盗まれたことを確認した。

Snowflakeはクラウドベースのデータベース・プロバイダーで、顧客は大量のデータに対してデータウェアハウスと分析を実行することができる。

先月、Mandiantは、’UNC5537’として追跡された金銭的動機のある脅威行為者が、情報窃盗マルウェアを介して盗まれたアカウント認証情報を使用して、Snowflakeの顧客に対する複数の攻撃の背後にいたことを明らかにしました。

スノーフレークはそれ以来、ワークスペース管理者向けに多要素認証(MFA)強制オプションを導入し、数百万人に影響を与えるデータ漏洩につながる安易な乗っ取りからアカウントを保護している。

AT&Tは、Advance Auto Parts社、Pure Storage社、Los Angeles Unified社、Neiman Marcus社、Ticketmaster社、Banco Santander社など、著名な被害者のリストに加わった。