AT&T、盗まれた電話記録を削除するためにハッカーに37万ドルを支払った

米通信大手AT&Tは金曜日、ハッカーらが自社の顧客数千万人の通話記録を盗んだと発表し、データの削除と削除の証拠を示す動画の提供でハッカーチームのメンバーに30万ドル以上を支払った。

安全対策の不十分なSnowflakeクラウドストレージアカウントを通じて多数の被害者からデータを盗んだ悪名高いハッカー集団ShinyHuntersの一員であるこのハッカーは、AT&Tが5月に身代金を支払ったことをWIREDに語った。彼は、身代金を自分に送った仮想通貨ウォレットのアドレスと、それを受け取ったアドレスを提供した。WIREDは、オンラインのブロックチェーン追跡ツールを通じて、5.7ビットコインの支払い取引が5月17日に発生したことを確認した。仮想通貨追跡会社TRM Labsの国際調査責任者、クリス・ジャンチェフスキー氏も、同社の追跡ツールを使用して、約5.72ビットコイン（取引当時の価格で37万3646ドルに相当）の取引が発生し、その後、資金が複数の仮想通貨取引所とウォレットを通じてロンダリングされたことを確認したが、ウォレットの管理者が誰であるかはわからないと述べた。

オンラインハンドルネーム「Reddington」のみを名乗るセキュリティ研究者も、支払いがあったことを認めた。ハッカーは彼をAT&Tとの交渉の仲介役として起用し、Reddingtonはその報酬としてAT&Tから報酬を受け取った。ReddingtonはWIREDに対し、報酬支払いの証拠を提供した。ハッカーは当初AT&Tに100万ドルを要求したが、最終的にはその3分の1で合意した。

WIREDは、ハッカーが盗んだデータを自分のコンピューターから削除した証拠としてAT&Tに提供したと主張する動画を確認した。AT&TはWIREDのコメント要請に応じなかった。

AT&T が 3 か月前にデータ盗難について知ったのは、レディントン氏を通じて間接的にだった。

レディントンはWIREDに対し、4月中​​旬、トルコ在住のアメリカ人ハッカーで、ジョン・エリン・ビンズとみられる人物（金銭を受け取ったハッカーではない）から連絡があり、レディントンのAT&Tの通話記録を入手したと告げられたと語った。レディントンが通話記録が本物であることを確認した後、ビンズは、スノーフレークがホストするセキュリティの低いクラウドストレージアカウントを通じて、他のAT&T顧客数百万の通話記録とテキストメッセージ記録も入手したとレディントンに告げたとされている。レディントンはセキュリティ企業マンディアントにこの情報漏洩を報告し、マンディアントはAT&Tに報告した。AT&Tは金曜日に証券取引委員会（SEC）に提出した規制当局向け書類の中で、この情報漏洩を初めて認識したのは4月だったと述べている。

レディントンは、ビンズが盗んだとされるAT&Tのデータセット全体が削除されたと考えていると述べ、その理由はハッカーとビンズが両者がアクセスできるクラウドサーバーにデータを保存し、ハッカーがそのサーバーからデータを削除したためだと述べている。

AT&Tは、4月から5月にかけて発生したハッキン​​グ攻撃で、セキュリティが不十分なSnowflakeアカウントからデータが盗まれたとみられる150社以上の企業の一つです。これらのアカウントは多要素認証で保護されていなかったことが既に報じられており、ハッカーはアカウントのユーザー名とパスワード、場合によっては認証トークンを入手した後、企業のストレージアカウントにアクセスしてデータを盗み出すことに成功しました。これまでに公表されている被害者には、Ticketmaster、銀行のSantander、LendingTree、Advance Auto Partsなどが挙げられます。

レディントンは、スノーフレークのアカウント侵害事件において、ハッカーと被害者との間で数多くの交渉を仲介してきた。ビンズ氏から「データの買い戻しを円滑に進めるため」AT&Tに連絡するよう依頼されたと述べ、「データの重要性」と被害の可能性を考慮し、「ビンズ氏がデータを他者に売却しないよう徹底する義務があると感じた」と付け加えた。

同氏は、一連の出来事から、今回のキャンペーンで最初に侵入されたのはおそらくチケットマスターのスノーフレークアカウントであり、その後ハッカーらはAT&Tなどを標的にしたと指摘する。

「（ハッカーたちが）他の被害者から提供したデータサンプルの分析から、チケットマスターへのハッキングが最初に発生したことが分かりました」と彼はWIREDに語った。「そこから、ハッカーたちは盗まれた認証情報を探すことで『snowflakecomputing.com』ドメインを標的にできることを突き止めたようです。リストを作成し、Snowflakeの被害者全員を同時に攻撃するためのスクリプトを作成するのに、それほど時間はかかりませんでした。」

AT&TのSEC提出書類によると、盗まれたAT&Tデータには通話とテキストメッセージのメタデータが含まれていたが、通話やメッセージの内容や電話の所有者の名前は含まれていなかった。レディントンは、ビンズ氏が逆引き検索プログラムを用いて、電話番号に紐付けられた家族、同僚、その他通信相手の名前を識別し、いかに容易に番号の所有者を特定できるかを実演したと主張している。

同社によると、盗まれたデータには、AT&Tの携帯電話顧客の「ほぼ全員」の電話番号と、2022年5月1日から10月31日まで、および2023年1月2日にこれらのAT&T顧客と通話またはメッセージを交換した他の携帯電話事業者の顧客の電話番号が含まれていた。また、この期間中に影響を受けたAT&T顧客と通信した固定電話番号も含まれていた。データには、通信の日付と通話時間が含まれていた。「記録の一部には、通信に関連する1つ以上の携帯電話サイトID番号も含まれています」と同社はブログ投稿で述べている。

携帯電話基地局IDは、携帯電話がどの基地局にpingを送信したかを明らかにし、携帯電話ユーザーの大まかな位置や動きを特定できる可能性があります。しかし、AT&Tの広報担当者はWIREDに対し、盗難されたデータセットに含まれる基地局のpingデータは限定的であり、「すべての通話でpingを送信したすべての基地局の位置は含まれていない」と述べています。さらに、盗難されたデータセットでは基地局のデータは「個々の通話から分離」されており、「特定と解読が困難」であると付け加えています。

情報漏洩のニュースは、AT&Tが金曜日にブログ記事とSECへの提出書類で公表した際に初めて公になった。上場企業は情報漏洩を知った後、SECに報告する義務があるが、AT&Tは、情報漏洩が明らかになった場合、国家安全保障または公共の安全に潜在的な損害が生じる可能性があるため、司法省が5月と6月に通知を遅らせるための免除を認めていたと述べている。FBIはCNNに対し、AT&Tがハッキングを知った直後にFBIに連絡してきたものの、AT&Tが情報を公開しSECに提出する前に、盗まれたデータの内容を確認し、潜在的な損害を評価するためにデータを確認したいと考えていたと述べた。

AT&Tから金銭を受け取ったハッカーは、ビンズ氏が今回の侵害の責任者であり、データをダウンロードした後、彼を含む他のユーザーとサンプルを共有したと主張している。ビンズ氏がAT&Tから「数十億」もの記録を盗んだとみられるとハッカーは考えているが、WIREDはこれを確認できていない。レディントン氏は、削除されたデータがハッカーが持ち出した唯一の完全なデータセットだったと理解している。レディントン氏は、ハッカーがデータを公開したとは考えていないものの、ビンズ氏が提供したとされるデータの抜粋を何人が受け取ったのか、また、ハッカーがそれをどのように利用したのかは不明だと述べている。

支払いと削除が行われたにもかかわらず、削除されなかったデータのサンプルを他の人が保有している可能性があることを考えると、一部の AT&T 顧客と彼らと通信した人々は依然として危険にさらされている可能性がある。

WIREDの取材に応じたハッカーは、ビンズではなくAT&Tから支払いを受けたと述べている。奇妙な展開だが、ビンズは2021年に遡る別の侵害事件で5月にトルコで逮捕されていたからだ。その事件はT-Mobileからの大規模なデータ窃盗に関係していた。AT&TはSECへの提出書類の中で、この侵害に関与した「少なくとも1人」が既に逮捕されたと考えていると述べているが、身元は明らかにしていない。404 Mediaが金曜日に最初に報じたのは、ビンズがその人物であるとの疑惑だ。

ビンズ氏は2022年、2021年にTモバイルへのハッキング事件、および4000万人以上のデータに関わる「機密ファイルと情報の盗難と売却」に関連する12件の罪で起訴された。しかし、3年前にウォール・ストリート・ジャーナル紙のインタビューでビンズ氏はトルコ人の母親と共に2018年に米国からトルコに移住していたことが明らかになった。起訴状は今年まで非公開のままだった。昨年9月、米国はビンズ氏がトルコ国籍を持たないため、トルコで逮捕され、米国に引き渡される可能性があると知った。Tモバイルの拠点があるシアトルの検察官は12月、トルコ当局に起訴状の一部開示を求めた。トルコ当局は、ビンズ氏のトルコ法に基づく合法的な身柄引き渡しの可否について最終判断を下していた。裁判所は1月にこの開示請求を認めた。

AT&Tから金銭を受け取ったハッカーはWIREDに対し、ビンズ氏が5月5日頃にトルコで逮捕されたと考えていると語った。ビンズ氏は彼自身や他者からの連絡に一切反応していないためだ。WIREDはT-Mobile事件でビンズ氏を代理するシアトルの国選弁護人に連絡を取ったが、返答はなかった。

ビンズ氏は米国当局と幾度となく接触し、CIAをはじめとする機関が自身に危害を加え、罠にかけようとしたと非難してきた。2020年にFBI、CIA、米特殊作戦軍に対し、自身に関する記録の開示を求める情報公開法に基づく訴訟を起こした際、ビンズ氏はCIAの契約業者が自身をスパイし、実験を行い、嫌がらせをし、そのうちの1人が「サイコトロニック兵器」を頭部に突きつけ、電子レンジで電気ショックを与えたなどと主張した。その後、ビンズ氏は情報公開法に基づく訴訟の却下を求める申し立てを行い、「酩酊状態による心理的発作」を経験している最中に文書を提出したと主張した。

昨年10月、Tモバイル事件で、ビンズ氏はシアトルの連邦地方裁判所に書簡を提出し、幼児期に脳に埋め込まれたチップが自身の行動に影響を与えていると考えていると述べた。裁判所に送付され、WIREDが閲覧した書簡の中で、ビンズ氏は判事に対し、「生後間もなく埋め込まれたワイヤレス脳（基底核）刺激インプラントまたはデバイス」が「抑えきれない衝動、人工的な神経学的問題、そして犯罪の可能性を含む異常な行動」の原因であると考えていると述べた。

時系列から判断すると、ビンズ氏がAT&Tの情報漏洩の責任者だとすれば、同氏はT-Mobileのハッキングで起訴され、逮捕される可能性もあることをすでに知っていた可能性が高い。

2024 年 7 月 15 日午後 5 時 30 分 (東部標準時) 更新: 盗まれたデータセットに含まれる携帯電話基地局データの性質について AT&T が提供した追加の明確化情報を追加しました。