T-Mobileへの侵入ルートは「ルーター」

全米第3位の通信大手T-Mobileの顧客情報はどうやら21歳のハッカーに簡単に窃取されてしまった様です。www.wsj.com

この侵害は、T-Mobileが過去2年間に開示した3番目の主要な顧客データ漏洩です。ワシントン州ベルビューの会社は、米国で2番目に大きな携帯電話会社であり、約9000万台の携帯電話がネットワークに接続されています。

連邦捜査局のシアトル事務所は、この問題に詳しい人によると、T-Mobileのハッキングを調査しているという。シアトル事務所は水曜日の声明で、「FBIは事件を認識しており、現時点では追加情報を持っていない」と述べた。

ジャーナルとのメッセージの中で、ビンズ氏は、7月にインターネット上に公開された保護されていないルーターを発見した後、なんとかT-Mobileの防御を突破したと述べた。彼は、一般に公開されている簡単なツールを使用して、T-Mobileの既知のインターネットアドレスで弱点をスキャンしていたと述べた。

若いハッカーは、注目を集めるためにそれをしたと言った。「ノイズを発生させることが1つの目標でした」と彼は書いています。

サイバーセキュリティの専門家の何人かは、ハッキングの公開の詳細と以前のT-Mobile違反の報告は、通信事業者の防御を改善する必要があることを示していると述べました。盗まれたと報告された記録の多くは、見込み客または以前の顧客からのものでした。「それは私には良いデータ管理慣行のようには聞こえません」と国家安全保障局の元顧問弁護士であるグレン・ガーステルは言いました。

ビンズ氏は、そのエントリポイントを使用して、ワシントン州イーストワナッチー郊外の携帯電話会社のデータセンターに侵入し、保存されたクレデンシャルによって100台を超えるサーバーにアクセスできるようになったと述べました。

キタきつねの所感

侵害に関して、当初T-Mobile側は認めてませんでしたが、調査会社の報告を受け調査中と書かれていましたので、データ漏えいが事実であった可能性は高い様です。

※確か当初の発表では漏えいデータは1億件と報じられていた気がするのですが、記事では5000万人以上と書き方が少し変わっている部分は気になりますが、ハッカーとの取材の中で、下方修正の表現が適切と判断したのかも知れません。

取材記事内容でまず気になったのが、偽名な気もしなくはありませんが、ハッカーが自身に係る内容を開示している事です。

※米国政府が本気になればハッカーは逮捕されるリスクが高い気がしますが、フェイク情報である可能性の方が高い気がします。

数年前にトルコに移住した21歳のアメリカ人、ジョン・ビンズ氏はウォールストリートジャーナルに、セキュリティ違反の背後にいると語った。2017年以来いくつかのオンラインエイリアスを使用しているBinns氏は、ハッキングの詳細が広く知られる前に話し合ったアカウントからのJournal inTelegramメッセージと通信しました。

（The Wall Street Journal記事より引用）※機械翻訳

次に気になるのは、やはり初期侵入の部分です。

ジャーナルとのメッセージの中で、ビンズ氏は、7月にインターネット上に公開された保護されていないルーターを発見した後、なんとかT-Mobileの防御を突破したと述べた。彼は、一般に公開されている簡単なツールを使用して、T-Mobileの既知のインターネットアドレスで弱点をスキャンしていたと述べた。

（The Wall Street Journal記事より引用）※機械翻訳

改めて記事から引用しますが、攻撃対象はルーターであり、一般に公開されている簡単なツールでスキャンしていて見つけられてしまったと書かれています。

これは例えばSHODANの様な検索ツールで、T-Mobileが不用意に公開していた機器が「見つけられてしまった」という事なのだと思います。

21歳というハッカーの年齢が事実だとすれば、大学生レベルの攻撃が成立したという事になります。（勿論、このハッカーはそれなりを技術や知見を持っていたとは思いますが）

この事について、Wall Street Journal誌では、防御側（の専門家）に対し厳しい指摘が書かれています。

8月の侵入は、泥棒が消費者の個人情報の山を持って立ち去ることを可能にした、米国企業での一連の注目を集める違反の最新のものでした。サイバーセキュリティコンサルタント、ソフトウェアサプライヤ、インシデント対応チームの急成長する業界は、これまでのところ、盗まれた企業データのこれらの深い貯水池を利用してビジネスを活性化するハッカーや個人情報窃盗犯に対抗することに失敗しています。

（The Wall Street Journal記事より引用）※機械翻訳

記事では、偉そうにセキュリティ予算を奪っていく防衛側（専門家）が、少し知見のあるハッカーに対して「役立たず」である事が暗に示されています。

言いたい事が無くはないのですが、私も本業ではセキュリティコンサルタントの役を（末端ではありますが）担っている立場として、米国の一流企業であるT-Mobileの防衛には1ミリたりとも携わっている訳ではありませんが、こうした意見を真摯に受け止めなければならないなと思います。

第三者の視点で見ると、T-Mobileクラスの大企業では、グレー（ブラック）ハットハッカーに攻撃される前に、自社に知見が無いのであれば他社の力を借りてでも、SHODAN等のツールを使って「不用意に公開されている機器」について調査すべきだったかと思います。

また、最初にハッカーが侵入を公表してからの対応にも問題があったかも知れません。ハッカーに対して、否定的な対応ではなく、ポジティブな対応を取っていれば、もしかすると状況は変わっていた、そんな可能性を感じます。

先日、POLY Networkの記事を書きましたが、ブラックではなく、グレーハット（※まだホワイトにもブラックにもどちらにも転ぶ可能性がある）ハッカーであったのなら、バグ報奨金などを有効に提示する事で、”内々に処理が出来た”可能性も十分に考えられます。

foxsecurity.hatenablog.com

一部のハッカーは「自己顕示欲」（自身の能力のPRの為に）の目的でサイバー攻撃を仕掛けてきていると言われており、取材に気軽に応じるハッカーがもし”本物”であるならば、T-Mobileが従来通りの「北風」手法でこの事件に対応しようとした事で、ハッカーがブラックに転び、その結果アンダーグランドのフォーラムでデータが売り出されてしまった（取り消されなかった）、そんな可能性も感じます。

余談です。Wall Street Journalの記事ではハッカーは初期侵入の後、約1週間でラテラルムーブメント（横移動）を成功させ、100台以上のサーバーへのアクセスを得た様です。

別な海外記事では約2週間と書かれていましたが、いずれによせT-Mobileは100台以上のサーバーへの侵害活動を検知出来なかった事は間違いなく、一度内部に侵入されると「Trust（信頼）」ゾーンの運用になっていた気がしてなりません。