米連邦通信委員会(FCC)は、3年前にベンダーのクラウド環境が侵害された後、通信大手AT&Tが顧客データの保護を怠ったのではないかという調査を解決するため、AT&Tと1,300万ドルの和解に達した。
FCCの調査では、AT&Tのサプライチェーンの完全性や、通信大手がプライバシーやサイバーセキュリティの面で不適切な行為を行っていなかったかどうかも調査された。
FCCが調査した大規模なデータ侵害は、2023年1月に発生し、脅威行為者が、請求書やマーケティングビデオなどのパーソナライズされたビデオコンテンツを生成するために契約したベンダーが保存していた約900万件のAT&Tワイヤレスアカウントの顧客データにアクセスした。
「AT&Tは当時、「一部のワイヤレス・アカウントの顧客専有ネットワーク情報(アカウントの回線数やワイヤレス料金プランなど)が流出した。
「この情報には、クレジットカード情報、社会保障番号、アカウントのパスワード、その他の重要な個人情報は含まれていません。我々は影響を受けた顧客に通知している。
2023年1月の情報漏洩で流出したCPNIデータには、顧客のファーストネーム、ワイヤレスアカウント番号、電話番号、メールアドレスが含まれていた。
このベンダーは、契約終了後にデータを破棄または返却することが義務付けられていたにもかかわらず、情報漏洩の数年前にそれを怠っていた。AT&Tは、このベンダーが契約上の義務を遵守しているかどうかの監視が不十分であったことが判明した。
「通信事業者は、機密情報へのアクセスを考慮し、さらなる予防措置を講じなければならない。
AT&T、顧客データ保護の強化に合意
AT&Tは、今回の調査に決着をつけるため、今後同様のベンダーによるデータ流出から消費者の機密データを保護するため、データ・ガバナンスを強化することにも同意した。
同意協定では、AT&Tに対し、広範な顧客データ保護を含む包括的な情報セキュリティ・プログラムの実施、ベンダーと共有するデータを追跡するためのデータ・インベントリー・プロセスの改善、ベンダーによる顧客情報の保持・廃棄ルールの徹底(情報漏えいの危険性がある顧客データの量を制限するため)、およびAT&Tがこれらの要件を遵守しているかどうかを評価するための年次コンプライアンス監査の実施を義務付けている。
「FCC委員長のJessica Rosenworcel氏は、「通信法は、通信事業者が消費者データのプライバシーとセキュリティを保護する義務があることを明確にしており、その責任はデジタル時代のデータ漏洩に対して新たな意味を持つ。
「通信事業者は、機密情報へのアクセスを考慮し、さらなる予防措置を講じる必要があり、我々は、顧客がどのプロバイダーを選ぼうとも、それが守られるよう警戒を怠らない」と述べた。
また、ロヤーン・エガル執行局長は、「通信サービス・プロバイダーは、機密性の高い顧客データにアクセスするために、脅威行為者が悪用しようとする攻撃対象や侵入口を減らす義務がある」と指摘し、本件の重要性を強調した。
「顧客のデータを保護することは、依然として当社の最優先事項のひとつです。AT&Tの広報担当者は、「当社が以前利用していたベンダーが昨年セキュリティ・インシデントに見舞われ、当社の一部のワイヤレス顧客に関するデータが流出しました。
このインシデントで当社のシステムが危険にさらされたわけではありませんが、社内で顧客情報を管理する方法を強化するとともに、ベンダーのデータ管理慣行に対する新たな要件を導入しています」。
「このデータには、アカウントの回線数などの情報が含まれていました。データには、アカウントの回線数などの情報は含まれていましたが、クレジットカード情報、社会保障番号、アカウントのパスワード、その他の重要な個人情報は含まれていませんでした」。
2024年7月、AT&Tは、脅威行為者が2024年4月14日から4月25日の間に同社のSnowflakeアカウント上のオンラインデータベースからおよそ1億900万人の顧客(ほぼすべての携帯電話顧客)の通話ログを盗んだ後、別の大規模なデータ侵害について警告した。
暴露されたデータには、電話番号、通話時間、通信メタデータ、通話やメールの回数が含まれていた。しかしAT&Tによると、攻撃者は通話やメールの内容、顧客名、社会保障番号や生年月日などの個人情報にはアクセスできなかったという。
同社は4月にも、3月にハッキング・フォーラム「Breached」で流出し、2021年に100万ドルで売りに出された 大量のAT&T顧客データに関連するデータ流出について、5,100万人の元・現顧客に通知している。
9月17日14:54 EDT更新:AT&Tの声明を追加。
Comments