何度約束しても情報漏えい…… 通信事業者のサイバー攻撃対策は何が良くなかったのか

通信事業者がサイバー攻撃を受けるとユーザーは困ったことになる。T-Mobileは2018年以降、8回もサイバー攻撃を受けている。なぜ攻撃が集中し、対応が間に合わないのだろうか。ユーザーには何ができるのだろうか。

[Matt Kapko，Cybersecurity Dive]

　大規模な通信事業者が繰り返しサイバー攻撃に屈している。携帯電話事業を手掛けるT-Mobile US（以下T-Mobile）は2021年8月に7600万人の個人情報を漏えいした。集団訴訟の結果、3億5000万ドルの和解金の支払いに同意して、セキュリティ態勢の改善とデータプライバシーや関連技術への投資を増やすことを約束した。

　だが、またもや攻撃を防ぐことができなかった。同社は2023年1月5日、自社のAPIが悪用されて顧客のアカウントデータにアクセスしようとする脅威を検出したこと、さらに「脅威の検出後24時間以内にシャットダウン」したが間に合わず、3700万人の顧客の記録が漏えいしてしまったことを発表した。

なぜセキュリティ対策に失敗し続けるのか

　通信業界はもちろん他業種の企業と比較できないほどの規模と頻度で繰り返し攻撃を受け、対応できなかったことがT-Mobileに対する悪評を生んだ。今、同社の真価が問われている。なぜセキュリティ対策に失敗したのか、どのような学びがあるのだろうか。

　2023年1月の発表は攻撃直後のものではなかった。ホリデーシーズン中のブラックフライデー（2022年11月25日）ごろに既に攻撃されていたからだ。当時、専門家は同社のセキュリティチームに厳重な警戒が必要だと警告していたが、T-Mobileは攻撃後41日間も被害に遭ったことに気が付かなかった。

　アナリストによると、T-Mobileのセキュリティ対策には良くないパターンがあるようだ。同社は15カ月の間に2つの巨大な侵入事件に見舞われたが、過去5年間に少なくとも6つのセキュリティインシデントが発生しており、セキュリティへの投資と成果の間にずれがある。

　通信市場とネットワーク市場の戦略的分析を手掛けるDell'Oro Groupのマウリシオ・サンチェス氏（ネットワークセキュリティ リサーチディレクター）は次のように述べた。

　「一連のハッキングと多額のペナルティー支払いの後、T-Mobileは自社の対処能力が高まったと考えていたのだろうが、そうでなかったことは明白だ」

一つの侵害が別の侵害の原因になる

　今回の事件は2018年以降、T-Mobileが公に認めた8件目のデータ侵害だ。ZK Researchのゼウス・ケラヴァラ氏（創業者兼主席アナリスト）は、「この件に関するT-Mobileの危機感のなさが見て取れる」と述べた。

　「T-Mobileは明らかに他の通信事業者より対応が遅れており、これが問題を引き起こしている。T-Mobileは侵入しやすいように見えるので、攻撃者の注目を集めて、さらに侵入が起こるだろう」（ケラヴァラ氏）

　複数のアナリストによると、攻撃者の最初の侵入とT-Mobileの検出の間に時間的なギャップがあることから、複数の未解決の課題が存在していると思われる。

　「特に過去の一連の攻撃の後、改善を何度も約束しながら更に侵入に遭っていることから、深刻な問題が幾つもあることがうかがえる」（サンチェス氏）

　「（T-Mobileが悪意のある活動を可視化できていないことが）最大の問題だ。侵入がいつか起こることは誰でも分かっている。しかし、T-Mobileのような通信会社は自社のビジネス全体がネットワークに『包まれている』。つまり侵入を示す可能性のある異常なトラフィックをほぼリアルタイムで見ることができるはずだ」（ケラヴァラ氏）

APIセキュリティに共通する課題が露呈した

　T-Mobileは攻撃者が悪用したAPIの詳細を共有していない。だが、どのような目的でAPIが使用され、どこで公開され、なぜ顧客の個人を特定できる情報（PII：Personally Identifiable Information）にアクセスできたのかを知ることが重要だ。

　サイバー防御を専門とするDarktraceのジャスティン・フィアー氏（レッドチームオペレーション担当シニアバイスプレジデント）の意見はこうだ。

　「完璧なAPIはない。そのためAPIのクレデンシャル（認証情報）管理に関する問題は最近非常に多くなっている。T-Mobileの攻撃でAPIが何に使われたのかは不明だが、外部のAPIがこれだけの量の機密PIIにアクセスできるのは警戒すべきことだろう」（フィアー氏）

　OWASP（Open Web Application Security Project）によれば、APIの情報漏えいにつながる攻撃シナリオは次のようなものだ。

・アクセス制御に不具合がある
・安全ではない設計
・セキュリティの設定ミス
・アイデンティティーと認証の失敗
・ロギングやモニタリングの失敗

攻撃者は全身全霊で攻撃する

　企業が直面している主な課題は、セキュリティに真剣に取り組んでいないことではない。

　「問題は、これらの企業にとってセキュリティが最大の関心事ではない一方で、攻撃者にとってはそうだということだ。（攻撃者は）攻撃の設計と適用に全ての時間を費やしている。とはいえ、T-Mobileのような企業が、攻撃が発生したときに責任を逃れられるわけではない」（Nicoll Associatesのシニアプリンシパルアナリスト、クリス・ニコル氏）

　悪意のある攻撃者は「自らの活動を隠すことに長けている」ため、T-Mobileにはシステムの監視と管理をより熱心に行う義務があると、ニコル氏は述べる。

　金銭的な罰則や規制措置の可能性を除けば、今回のインシデントでT-Mobileが被る不利益はごくわずかだろうと、アナリストは「Cybersecurity Dive」に伝えた。「セキュリティ疲れ」のために、T-Mobileの悪評はそれほど大きくならない可能性がある。

　しかし、T-Mobileの顧客は警戒する必要があるとケラヴァラ氏は言う。

　「急速にデジタル化が進む世界では、今や携帯電話が生活のコントロールポイントになっている。もし、携帯電話会社を信用できないとしたら、それは極めて大きな問題だ」

出典：Experts question T-Mobile’s security culture as breach cycle churns（Cybersecurity Dive）

注1：T-Mobile: Understanding the latest in the carrier’s string of data breaches（Cybersecurity Dive）

注2：T-Mobile breached again, 37M customer accounts exposed（Cybersecurity Dive）

注3：T-Mobile Informing Impacted Customers about Unauthorized Activity

注4：T-Mobile agrees to $500M settlement for 2021 cyberattack（Cybersecurity Dive）

注5：OWASP Top Ten