Last Updated on 2024-07-13 02:48 by 荒木 啓介
AT&Tは、2022年5月1日から10月31日、および2023年1月2日に、ほぼ全てのAT&T携帯電話顧客の通話記録とテキストメッセージ記録がサイバー犯罪者によってダウンロードされたと顧客に通知した。この情報は、2024年4月19日にAT&Tが第三者のクラウドプラットフォーム上の作業スペースから顧客データが不正にダウンロードされたという脅威アクターの主張を知った後、証券取引委員会(SEC)への提出書類で明らかにされた。
盗まれたデータには、特定の日や月の通話回数や通話総時間と共に、AT&Tの電話番号がその期間中にやり取りした電話番号が含まれている。しかし、通話やテキストの内容、通話やテキストのタイムスタンプ、社会保障番号、生年月日などの個人を特定する情報は含まれていない。
これは、今年に入ってからAT&Tが公表した二度目のセキュリティインシデントである。3月には、以前から憶測されていたブリーチにより7300万人が影響を受けたことが確認されている。
データ侵害の被害者、または被害者である可能性がある場合、パスワードの変更、二要素認証(2FA)の有効化、偽のベンダーに注意するなど、いくつかの対策を講じることが推奨される。また、Malwarebytesは、オンラインで個人データが露出している範囲をチェックする無料ツールを提供している。
【ニュース解説】
AT&Tは、2022年5月1日から10月31日、および2023年1月2日にかけて、ほぼ全てのAT&T携帯電話顧客の通話記録とテキストメッセージ記録がサイバー犯罪者によってダウンロードされたことを明らかにしました。このデータ侵害は、第三者のクラウドプラットフォーム上のAT&Tの作業スペースから不正にデータがダウンロードされたことによるものです。盗まれたデータには、通話回数や通話総時間と共に、AT&Tの電話番号がその期間中にやり取りした電話番号が含まれていますが、通話やテキストの内容、タイムスタンプ、社会保障番号、生年月日などの個人を特定する情報は含まれていません。
この事件は、AT&Tにとって今年二度目のセキュリティインシデントの公表となります。以前のインシデントでは、7300万人の顧客が影響を受けたことが確認されています。このような大規模なデータ侵害は、顧客のプライバシーに対する深刻な脅威となり、企業の信頼性にも影響を及ぼします。
データ侵害の被害者、または被害者である可能性がある場合、パスワードの変更や二要素認証(2FA)の有効化など、自己防衛のための対策が推奨されます。また、個人情報のオンラインでの露出範囲をチェックするツールの利用も有効です。
この事件は、企業が顧客データを保護するためにどのような対策を講じるべきか、また、第三者のクラウドプラットフォームを利用する際のリスク管理について、改めて考えさせられる事例です。クラウドサービスの利用は便利で効率的ですが、セキュリティ対策が不十分な場合、大規模なデータ侵害につながる可能性があります。そのため、企業はクラウドサービスプロバイダーとの契約時にセキュリティ対策を十分に検討し、定期的なセキュリティチェックとデータ保護対策の強化が必要です。
また、このような事件は、データ保護法規の強化や、企業に対するセキュリティ基準の厳格化を促すきっかけとなる可能性があります。長期的には、より安全なデジタル環境の構築に向けた取り組みが加速することが期待されます。
from “Nearly all” AT&T customers had phone records stolen in new data breach disclosure.
