海外における個人情報流出事件とその対応第200回 T-Mobileでハッキング騒ぎ (2)避けられないイメージ低下

●T-Mobileドイツから1,700万件の顧客記録盗難

国際海外情報

2009年7月28日（火） 15時30分

●T-Mobileドイツから1,700万件の顧客記録盗難

　結局、情報を所有するという犯人の主張は、裏付ける証拠を今後示さない限りは、信憑性がないというのが、大半のメディアの反応だ。しかし、犯人が『insecure.org』にポスティングを行った当初は、NY Times、FOX News、Washington Postをはじめ多数のメディアが取り上げた。これは、T-Mobileは2005年から最低でも3度、情報漏えい事件で世間を騒がせてきたためだろう。

　最近のものは2008年の10月に、T-Mobileの親会社、ドイツのDeutsche Telekom が1,700万件を超える顧客記録が盗まれたことを認めている。事件を報じたのは、ドイツのニュース週刊誌『Der Spiegel』だ。

　『Der Spiegel』によると、個人を確認できる情報、電話番号、住所、生年月日、一部e-mailアドレスがインターネットで販売されているという。親会社のDeutsche Telekom も顧客の氏名、住所、携帯電話番号、そして一部、生年月日、e-mailアドレスが漏えいしたことを認めている。ただし、クレジットカード情報は無事だった。

　データの中には、ドイツの有名人、Hape Kerkeling、Guenther Jaunchや政治家や大臣をはじめ、多数の実業家、宗教リーダーの電話帳に掲載されていない電話番号や住所などが含まれていた。例えば、俳優であり、コメディアンでもあるHape Kerkelingが書いた『Ich bin dann mal weg』は2007年におけるドイツのベストセラーだった。

　情報が盗まれたのは2006年のことで、T-Mobileではボンの検察局とドイツ連邦刑事局(Bundeskriminalamt)に通報している。しかし、ニュースが報じられたのは、2年後の2008年、それもニュース誌によってだ。

　『Der Spiegel』では第三者から情報を得たとしている。そして、1,700万人の携帯電話のデータ記録を保管した記憶装置が何者かの手に渡ったと明らかにしている。

　一方、事件については、記事が掲載された『Der Spiegel』が発売された前日に、T-Mobileも発表している。10月4日付のプレスリリースでは、
・ 1,700万人の携帯電話のデータ記録を保管した記憶装置が見つかった
・第三者が権限なしに使用した証拠はない
・銀行詳細、クレジットカード番号、電話のデータは無事
・ 2006年以来、セキュリティ対策を強化した
という。

　Deutsche Telekomでは、漏えいの結果、2006年以降にユーザが迷惑を被るような事態があった、あるいは権限なしに利用されたことは、確認していないとしている。

　事件が報じられたのは2008年になってからだが、Deutsche Telekomでは、検察に直ちに届出を行い、捜査の結果、記憶装置を回収した。その後、インターネット上などでのデータを取引する場を調べたが、ブラックマーケットでデータの売買が行われているような手がかりは見つかっていなかった。そのため、データが流通しているとは考えていなかった。

　しかし、『Der Spiegel』の記事は、犯罪者を通して、データにアクセスできたというものだ。そして有名人や政治家、実業家、宗教リーダーの情報もあったために、これらの人物にセキュリティ上の危険も生じうるとしている。

　一方、T-Mobile側は「2006年の事件が再び浮上してきたという事実を非常に懸念している」との声明を発表。検察でも捜査を行い、安全と見られていたため「これまで問題のデータは完全に回収できたと考えてきた」ためだ。そして、「残念ながら、T-Mobileの基準に沿って、顧客データを保護することができなかった」との声明を出した。

　ただし、事件について取材した『darkreading.com』に対して、T-Mobile のスポークスマンは「我々の情報では、これらの（顧客データ）詳細がブラックマーケットで販売されても、今のところ買い手はない」と話している。情報が第三者の手に渡っているものの、販売はできないというものだ。

　T-Mobileは事件後"セキュリティ強化"を行った。これは、その他イニシアチブに加えて、パスワードを複雑にして、アクセス許可の制限、顧客データを管理するデータベースへのアクセスをより詳しく監視するように、またアクセスが登録されるようになったこと、データベース管理および設定のためのセミオートマティックの監視システムを構築したというものだ。

●パリス・ヒルトンや財務省検察局の情報が漏えい

　また、2005年1月には、カリフォルニア州のハッカー、Nicholas Jacobsenが、米国T-Mobileの顧客400件の情報にアクセスして、個人情報盗難犯のブラックマーケットで販売していた。事件が起こったのは2004年のことで、最低でも3月から10月までは、顧客の氏名と社会保険番号を見ることができたという。

　また、被害者の中に米国財務省検察局の捜査官がいて、その上、財務省検察局の捜査資料などをT-Mobileのシステムに保管していた。システムをハッキングしたJacobsenが、検察局のメモランダム、ロシアとの相互法律援助条約などの情報を不正に獲得したということで、問題は大きく報じられた。

　続いて2月に、パリス・ヒルトンの携帯電話のアドレス帳がインターネットで公開された。マサチューセッツ州在住の10代の青年が米国T-Mobileのシステムにアクセスして、ヒルトンが使っていたT-MobileのSidekickのアカウントをハッキング。エミネムやクリスティーナ・アギレラなど約500人のハリウッドスターをはじめとする有名人の連絡先の入ったアドレス帳、画像、電子メール、ボイスメールが流出した。

　犯人はT-MobileのアカウントパスワードをリセットするWebサイトの欠陥を悪用していた。事件が明らかになった当時、セキュリティ専門家は、アカウントパスワードのリセットは、多数あるT-MobileのWebサイトの欠陥の１つで、ハッカーに簡単にアクセスを許すものだとのコメントも行っていた。

●漏えい事件は企業イメージに影響

　このように何度かデータ漏えいが報じられている中での、今回の犯人の主張だ。事件が報道される前の6月5日のT-Mobileの親会社、Deutsche Telekomの株価は$11.06、報道直後の8日は…

【執筆：バンクーバー新報西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》