海外における個人情報流出事件とその対応 第200回 T-Mobileでハッキング騒ぎ (1)理解に苦しむハッカーの動向 | ScanNetSecurity
2021.05.08(土)

海外における個人情報流出事件とその対応 第200回 T-Mobileでハッキング騒ぎ (1)理解に苦しむハッカーの動向

 6月8日、『The Register』が、T-Mobile USAをハッキングしたハッカーから連絡を受けたことを明らかにした。T-Mobileはドイツテレコムの関連会社で、ドイツに本社を持つ携帯電話会社だ。米国、英国、オランダ、オーストリアに加え、チェコ、ハンガリー、ポーランド、ス

国際 海外情報
 6月8日、『The Register』が、T-Mobile USAをハッキングしたハッカーから連絡を受けたことを明らかにした。T-Mobileはドイツテレコムの関連会社で、ドイツに本社を持つ携帯電話会社だ。米国、英国、オランダ、オーストリアに加え、チェコ、ハンガリー、ポーランド、スロバキアなどの東欧諸国、クロアチアやマセドニアなどでも運営を行い、顧客数は世界で1億4,800万人、米国で3,300万人に上る。T-Mobile USAはT-Mobileの米国部門だ。

 e-mailの送信元は"pwnmobile"で、「データベース、極秘文書、スクリプトやプログラム、2009年までの財務書類など全てを持っている」と主張していた。"pwnmobile"はT-Mobileのライバル会社に情報を売ろうとしたが、拒否されたため、「最高額で入札した相手に売るつもりだ」と伝えていた。

 メッセージによると、ハッカーグループはe-mailで連絡を取ろうとしたというが、うまく行かなかった。原因として、ハッカーたちは、スパムフィルターで引っかかった可能性と、情報を獲得して連絡したのが週末で、タイミングがよくなかったと考えている。

 "pwnmobile"のメールには、盗んだデータ詳細の一部も含まれていた。一方で、グループは6月6日に『insecure.org』において、T-Mobileのネットワークから奪ったとみられる、OSシステムのバージョンやIPアドレスなどから成る、大量のログファイルをポスティングしていた。ハッカーはこれらのデータをT-Mobileのシステムから獲得したと主張している。

 『insecure.org』では、犯人たちはT-Mobileのライバル会社が情報を購入しなかったのは、メールが適切な相手に送付されなかったからだろうとの考えも明らかにした。すなわち犯人たちは、貴重な情報を持っているという主張は変えていない。

 『The Register』は、"pwnmobile"からのe-mailを受け取って、T-Mobileに問い合わせた。その時点ではT-Mobileのスポークスマンは、「状況について調査中」と回答していた。一方、「T-Mobileでは、顧客情報の保護およびシステムの安全とセキュリティは絶対的な最重要事項である」との姿勢を明らかにして、「ハッカーの主張が正しいなら、(情報漏えいの)被害者にはできるだけ早く連絡する」と答えていた。

 6月9日、T-Mobileは公開されたデータは本物であると確認した。まず、「ハッキングについて調査している」という内容だったが、同日中に、「情報はコピーされたもの」と本物であることを確認した。しかし、「ハッカーがこのファイルを持っているということは、"全て"を持っているということにはならない」としている。そして、ハッカーが主張しているとおり、システムへの完全なアクセスを獲得しているかどうかについては、不明瞭なままだ。

 同時に、「顧客情報の保護とシステムのセキュリティが最重要」であることを再確認した。引き続き、捜査を続けるとともに、顧客情報とシステム保護を確実にするため、追加の予防措置を取ったことも明らかにしている。

●不可解な犯人の動き

 ただし、捜査の"完全性保護"のために、状況について追加の情報を発表することはできないものの、顧客情報の漏えいがあれば、できるだけ迅速に被害者に伝えると呼びかけている。犯人が明らかにしたデータには顧客情報は確認されていないということだ。ポスティングされたデータはネットワークのスキャンデータで、メーリングリストのようだ。

 やはり事件について触れた『CSO Online』のブログでは、データセキュリティの会社、Secernoの創立者、Paul Davieに話を聞いている。Davieは自分がT-Mobileを利用していたとしても、現時点で心配はしないという。これは、ハッカーは個人情報を所有しているとしているものの、その一部を証拠として示していないためだ。

 本当に所有しているなら、その主張が正しいことを示すために、データの一部を明らかにするはずだ。証拠を示すことで、売ろうとしているデータの価値がずっと高くなる。しかし、犯人は顧客データの一部を示さなかったことで、本当はデータを持たないのではないかという疑いをDavieは持っている。

 SecernoのDavie以外にも同様の考えを示すセキュリティ専門家が多い。『Washington Post』でセキュリティブログも発表しているBrian Krebsもその一人で、「メーリングリストは貴重な情報が入っていることが多い」とし、なんら重要情報が入っていないことから、犯人は、単に悪質なマーケティング方法、FUD(Fear恐怖、Uncertainty不安、Doubt疑念)を用いただけでは…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×