Verizon

ベライゾン・コミュニケーションズは、完全子会社であるトラクフォン・ワイヤレスが2021年の買収後に被った3件のデータ漏洩事故に関して、米連邦通信委員会(FCC)と16,000,000ドルの和解金を支払うことで合意した。

TracFoneは、Verizon Wireless、Straight Talk、Walmart Family MobileなどのTotalを通じてサービスを提供する電気通信サービス・プロバイダーである。

今回発表された和解合意では、高額な民事罰とは別に、通信会社は今後、顧客のデータ・セキュリティ・レベルを高めるための具体的な対策を実施することが求められている。

複数のデータ漏洩

TracFoneにおけるデータ漏洩は2021年から2023年にかけて発生し、3つの別々のインシデントに関与した。

最初のインシデントは「Cross-Brand」と呼ばれ、2022年1月14日にTracFoneによって自己報告された。同社は2021年12月に発見したが、調査の結果、脅威行為者は2021年1月から顧客データにアクセスしていたことが判明した。

個人を特定できる情報(PII)や顧客専有ネットワーク情報(CPNI)などの機密情報にアクセスした脅威行為者は、不正な番号ポーティング要求の承認を大量に行った。

「このインシデントに関連して、脅威行為者は認証と限られた数のAPIに関連する特定の脆弱性を悪用した。

「これらの脆弱性を悪用することで、脅威行為者は特定の顧客情報への不正アクセスを行うことができた。

他の2件のデータ漏洩事件はTracFoneの注文ウェブサイトに関するもので、それぞれ2022年12月20日と2023年1月13日に報告されている。

どちらのケースでも、未認証の脅威者が脆弱性を悪用し、特定のCPNIやその他の顧客データを含む注文情報にアクセスした。

「脅威行為者は、脆弱性を悪用するために2つの異なる方法を使用した(TracFoneが1つ目の方法のブロックに成功すると、2つ目の方法に切り替えた)」とFCCの法令文書は説明している。

“TracFoneは最終的に2023年2月までに根本的な脆弱性の長期的な修正を実施した。”

暴露された個人の数とSIMスワッピング事件は、同意協定文書の公開版では検閲されている。

和解契約では、トラックフォンは2025年2月28日までに以下の対策を実施することが義務付けられている:

  • NIST や OWASP などの標準に準拠し、安全な API コントロールを実装し、セキュリティ対策を定期的にテストおよび更新することによって、API の脆弱性を低減する情報セキュリティプログラムを策定すること。
  • SIM の変更およびポートアウト要求に対する安全な認証、そのような要求の顧客への 通知、番号移行 PIN の提供を含む、SIM の変更およびポートアウト保護を実施する。
  • プログラムの有効性を確保するため、情報セキュリティの年次評価を実施し、2 年ごとに独立した第三者による評価を受け、十分性と成熟度を評価する。
  • 従業員が顧客データを保護し、セキュリティ・プロトコルを遵守する能力を高めるため、プライバシーおよびセキュリティに関する意識向上のためのトレーニングを毎年実施する。

はベライゾンとTracFoneに連絡を取り、影響を受けた顧客の数を尋ねたが、回答は得られていない。