Last Updated on 2024-06-22 04:16 by 門倉 朋宏
BreachForumsのモデレーターであるIntelBrokerが、T-Mobileのデータ侵害から得たと主張するデータを販売している。このデータにはソースコード、SQLファイル、画像、Terraformデータ、t-mobile.comの認証情報、および「Siloprograms」と記載されている。IntelBrokerは、T-Mobileの開発者向け内部SlackチャンネルとConfluenceサーバーへの管理者権限でのアクセスを示すスクリーンショットを投稿してデータの存在を証明した。
BleepingComputerによると、IntelBrokerが共有したデータは、以前に第三者ベンダーのサーバーに投稿されたT-Mobileのインフラを示す古いスクリーンショットである。IntelBrokerが添付したスクリーンショットの一つから、Jiraのプロジェクト管理ツールに存在する重大な脆弱性CVE-2024-1597、SQLインジェクションの検索結果が見つかった。この脆弱性は、Atlassianの5月のセキュリティ情報によると、Confluence Data CenterおよびServerに影響を与える。
IntelBrokerは、Jiraのゼロデイ脆弱性を利用してAppleの内部ツール3つのソースコードを含むデータを持っていると主張している。また、Jiraのゼロデイリモートコード実行(RCE)脆弱性を販売していると述べている。この脆弱性は、最新バージョンのデスクトップアプリとConfluenceを搭載したJiraに対して、ログイン不要でOkta SSOと共に機能する。
T-Mobileは、データ侵害があったという主張を否定し、第三者プロバイダーでの侵害があったかどうかを調査していると述べている。T-Mobileは、顧客データやソースコードが含まれているという証拠はなく、T-Mobileのインフラがアクセスされたという悪意のあるアクターの主張は誤りであると確認している。
【ニュース解説】
T-Mobileのデータ侵害が疑われる事件が発生しました。この疑惑は、BreachForumsというデータ侵害取引プラットフォームのモデレーターであるIntelBrokerが、T-Mobileから盗まれたと主張するデータを販売していることから始まりました。このデータには、ソースコードやSQLファイル、画像、Terraformデータ、t-mobile.comの認証情報などが含まれているとされています。しかし、IntelBrokerが提供した証拠は、T-Mobileのインフラを示す古いスクリーンショットであり、これらは以前に第三者ベンダーのサーバーに投稿されたものでした。
特に注目すべき点は、IntelBrokerがJiraのプロジェクト管理ツールに存在する重大な脆弱性CVE-2024-1597、具体的にはSQLインジェクションの脆弱性を利用している可能性があることです。SQLインジェクションは、ウェブサイトのフォームに悪意のあるSQLコードを注入する攻撃手法で、データベースへの不正アクセスを可能にします。この脆弱性は、Atlassianのセキュリティ情報によると、Confluence Data CenterおよびServerに影響を及ぼします。
さらに、IntelBrokerはJiraのゼロデイリモートコード実行(RCE)脆弱性を販売しているとも主張しています。この脆弱性は、最新バージョンのデスクトップアプリケーションおよびConfluenceを搭載したJiraに対して、ログイン不要でOkta SSOと共に機能するとされています。このような脆弱性が悪用されると、個人データを含むデータ侵害が発生する可能性があります。
T-Mobileは、顧客データやソースコードが侵害されたという証拠はなく、T-Mobileのインフラがアクセスされたという主張は誤りであると否定しています。しかし、この事件は、企業が第三者プロバイダーを通じてどのように脆弱性にさらされる可能性があるかを示しています。また、ソフトウェアの脆弱性を悪用する攻撃者が、企業のセキュリティを突破し、重要なデータを盗み出すリスクを浮き彫りにしています。
この事件から学ぶべき教訓は、企業が自社のセキュリティ対策を常に最新の状態に保ち、第三者プロバイダーとの関係においてもセキュリティ基準を厳格に適用する必要があるということです。また、ソフトウェアの脆弱性に対する迅速な対応と、セキュリティ情報の共有が、データ侵害のリスクを軽減する上で重要であることが再確認されました。
