T-Mobile ハッキング被害により200万人分の顧客情報流失
アメリカの通信事業者であるT-Mobileの顧客情報が、何者かにAPIを悪用され漏洩してしまいました。
Motherboardの記事によれば、今回被害に遭った顧客情報は、なんと約200万件のようです。
このインシデントは、T-Mobileにより迅速な対応が取られましたが、実はT-Mobileが行った当初の発表では「パスワードが漏えいした事実」が隠蔽されていました。
そこで、この記事では、「①何故パスワードの漏えいが隠蔽されたのか」、「②今回のようなことが起きないためにはどうすべきだったのか」を以下の流れで解説していきます。
T-Mobileのプレスリリース内容の振り返り
本セクションでは、「プレスリリースでインシデントについてどのように公表されていたのか」を解説していきます。
T-Mobileは、今回のインシデントに関して8月23日(アメリカ時間)に公式HPで顧客向けにプレスリリースを公開しました。
T-Mobileによるプレスリリースに記載された情報は、以下の5種類の情報となります。
- インシデントが発覚した経緯
- 顧客の問い合わせ先
- 漏えいした情報に関して
- 顧客が取るべき対応について
- T-Mobileによる再発防止策
(なお、「問い合わせ先」については本記事を執筆するにあたって重要でない情報であることから省略します。)
インシデントが発覚した経緯
プレリリースによると、T-Mobileのセキュリティチームが8月20日に顧客情報への不正アクセスを検知、遮断をしたようです。
また、同日に情報漏えいがあったことを関係当局に報告しました。
漏えいした情報について
今回漏えいした情報は以下の通りです。
- 顧客名
- 郵便番号
- 電話番号
- メールアドレス
- アカウント番号
- 支払方法(事前払い又は事後払い)
“不幸中の幸い”とも言えるのか、クレジットカード情報やソーシャルセキュリティーナンバー(≒日本でいうマイナンバーにあたるもの)は漏えいした情報に含まれていませんでした。
また、この時点の公表では、「パスワードの漏えいは発生していない」とされていました。
顧客が取るべき対応
次にT-Mobileのプレスリリースでは、「今回のインシデントによって個人情報が漏えいしてしまった被害者」と、「幸いにも情報が守られたユーザー」の両方に対して、インシデント後にどのように対応すべきかを説明しています。
T-Mobileは、二種類の顧客に対して「何か質問があれば指定した問い合わせ先まで問い合わせして欲しい」とプレスリリースで対応を促しています。
またT-Mobileは、個人情報が漏えいした被害者に対しては、「念のためパスワードを変更すること」を推奨しているようです。
再発防止策
プレスリリースには、具体的な再発防止策は記載はありません。
ですが、その代わりに、セキュリティ対策が記載されている以下のサイトを読むように促しています。
Privacy Policy & Personal Information | T-Mobile
Privacy Center | Privacy Statements, Controls, Fraud & Spam
パスワード漏えいの隠蔽
当初行われたT-Mobileのインシデントに関するプレスリリースでは「(今回のインシデントの影響て)パスワードは漏えいしていない」と言い切っていました。
以下は、プレスリリースの抜粋です。
No financial data (including credit card information) or social security numbers were involved, and no passwords were compromised.
しかし、Motherboardが今回のインシデントについて記事を公開した後にMotherboardの記者に対してT-Mobileの広報より「暗号化されたパスワードも漏えいしていた」と話があったようです。
一体何故、T-Mobileは当初のプレスリリースでは漏えいしていないと言い切っていたのでしょうか?
公式見解と広報による回答に矛盾がある事について、Motherboardの記者がT-Mobileの広報に詰め寄った結果、以下のような回答が返ってきたようです。
パスワードは漏えいしていません。なぜなら、パスワードは暗号化されていたからです。
パスワードの暗号化方式またはハッシュアルゴリズムについても質問はしたようですが、回答は拒否されたとMotherboardの記者は記述しています。
セキュリティリサーチャーによるさらなる追求
一方、Motherboardがこのニュースを公開してから数時間後、セキュリティリサーチャーのNicholas Ceraolo氏は「T-Mobileから漏えいした情報はT-Mobileのプレスリリースで示された範囲以上の個人情報だった」と主張しました。
さらにCeraolo氏はMotherboardの記者に対してT-Mobileから漏えいしたパスワードのサンプルを共有。実はCeraolo氏は、ハッキングに関わっておらず、とある知人からサンプルを入手したのでした。
その後Motherboardは、Ceraolo氏から受け取ったパスワードリストを専門家に解析依頼。
実は漏えいしたパスワードは強度の弱いMD5でハッシュ化されている可能性が高い事が明らかになりました。
実はMD5は、ブルートフォース攻撃により解読される可能性がある事から、パスワードの暗号化手段としては不適切とされています。
教訓
今回のインシデントから学べる点は、以下の2つです。
- 正確な情報を公表すること
- 強度の弱いハッシュアルゴリズムを使用しないこと
以下、それぞれ見ていきましょう。
1. 正確な情報を公表すること
T-Mobileがパスワードの漏えいを隠蔽したことは、企業の対応として間違っていたのではないでしょうか。
インシデントに関して不確実な情報を公表することは、顧客の混乱を招く事に繋がるので避けるべきだと思います。
しかし、パスワードが漏えいしていたことが確実であれば、たとえ強度の高いハッシュアルゴリズムでハッシュ化されていたとしても公表すべきだったと筆者は考えています。
2. 強度の弱いハッシュアルゴリズムを使用しないこと
すでに強度が弱いことが指摘され、暗号化方式として推奨されていないMD5のハッシュアルゴリズムを使用すべきではありませんでした。
勿論、情報漏えいしないようにすべきですが、そもそもセキュリティインシデントによる情報漏洩を100%防ぐ事は不可能です。
そのため、パスワードの暗号化手段としては手段としてはMD5より強度の高いハッシュアルゴリズムを使用すべきであり、漏えいしたとしても暗号の解読の難易度を上げる目的で、ハッシュ化に併せてソルトやストレッチングも考慮すべきだったのではないでしょうか。
まとめ
この記事では以下の点について解説を行ってきました。
今年起きたアンダーアーマーのインシデントもそうですが、脆弱なハッシュアルゴリズムを使用していたことによってパスワードが漏えいしてしまった事例は他にも起きています。
日本では、インシデントが発生してしまったとしても、きちんとした対応が取れた企業を表彰する『情報セキュリティ事故対応アワード』というイベントがあります。
情報セキュリティ事故対応アワードの審査員になっている、辻 伸弘さんの本ではインシデント対応のケーススタディが書かれています。
とても分かりやすく書かれていますので、一読してみてはいかがでしょうか。
【参考】
アンダーアーマーの個人情報流出は、防げたはずの問題だった──不適切なセキュリティ対策が浮き彫りに|WIRED.jp
情報セキュリティ事故対応アワード|2018-03-01|ITセミナー・製品情報
「第3回情報セキュリティ事故対応アワード」に行ってみた。 #事故対応アワード - にゃんたくのひとりごと
記事を読む