携帯電話会社Tモバイルが、週末にハッカーから1億人分の顧客データが盗まれたと主張され、調査中であることが広く報じられている。によると ブリーピング・コンピューターこの脅威者は、3000万人分の生年月日、運転免許証番号、社会保障番号を含むデータベースを6ビットコイン(約27万ドル)と引き換えに売っていると主張している。T-モバイルがサイバー攻撃の標的になったのは今回が初めてではないが、今回の攻撃者の主張は、今回は異なる可能性があることを示している。
通常の結果とは異なる
しかし、この種のハッカー行為からもたらされる可能性のある結果はいくつかある。
選択肢1:ハッカーが交渉する
アクセス権を獲得し、侵害の可能性が生じた後、ハッカーはベンダー(この場合はTモバイル)に通知し、損害が発生する前に問題を解決するための価格を取り決める。これが今回のケースであったという兆候や報告はない。
オプション 2: ランサムウェア
犯罪者はデータの復号化と引き換えに高額な代償を要求する可能性がある一方で、盗まれたデータがこの先も再浮上しないという保証はないためだ。報告によると、T-モバイルは典型的なランサムウェアの窃盗犯を相手にしているわけではないようだ。
オプション3:データをオープン市場で売却する。
ハッカーの主張が本当なら、これがTモバイルの現状であり、攻撃者が主張するものを手に入れ、それを証明できることを意味するため、理想的とは言えない。
この種の広範囲にわたるデータ収集は、「低強度・長期にわたる攻撃」の典型例であり、攻撃者はシステムへのアクセス権を取得した後、バックドアを探したり、システムを盗聴したり、データを持ち出したりしながら、検知されることなく活動を続けます。実際、この Dark Reading の記事によると、現在、攻撃者がシステム内に潜伏する平均期間は24日となっています。こうした攻撃の被害に遭った組織では、何が起きたかを特定するための証拠がすべてログの中に埋もれており、適切な「警鐘」を鳴らすために必要な形で関連付けられていなかったことが、繰り返し確認されています。過去の攻撃でも指摘してきたように、ハッカーは目立った動きをしないことを組織が認識することが重要です。しかし、彼らの動きを把握し阻止するために必要な可視性がなければ、防御することはほぼ不可能です。
このBleeping Computerの記事によると、「脅威アクターは、2週間前にT-Mobileの本番サーバー、ステージング・サーバー、開発サーバーにハッキングしたと主張しており、その中には顧客データを含むOracleデータベース・サーバーも含まれている。T-Mobileのサーバーに侵入した証拠として、脅威アクターはOracleが稼働している本番サーバーへのSSH接続のスクリーンショットを共有している。」
これは、我々の調査チームが積極的に監視している発展途上の話である。しつこい攻撃を懸念している企業への提言も含め、今後もブログを通じて最新情報を発信していく予定である。