2500万円を支払って取り戻したはずの顧客データが闇市場で売られ続ける / T-Mobile Secretly Bought Its Customer Data from Hackers to Stop Leak. It Failed.~サイバー犯罪者に金を払っても無駄骨に終わる事例~


2021年、T-Mobileは、ハッカーが6ビットコイン(当時約27万ドル相当)で3000万人の顧客の個人データを売ると申し出て、侵害されたことを確認しました。公開された法廷文書によると、T-Mobileが雇った第三者は、そのデータへの独占アクセス権をハッカーに支払い、より広く流出しないように制限しようとしたという。

この計画は最終的に失敗し、犯人は第三者から合計20万ドルを渡されたにもかかわらず、データを売り続けた。しかし、このニュースは、企業がデータ漏洩に対応する際に、盗まれた情報の漏洩を軽減するため、あるいは誰が自社のネットワークに侵入したかを特定するために使われるかもしれない、議論を呼ぶような戦術をいくつか発掘している。

T-Mobileは、依頼した第三者がデータ流出を止めるためにサイバー犯罪者に数十万ドルを支払ったことを認識していたかどうかについてコメントを求めたが、回答は得られなかった。

2022年4月12日、司法省は、RaidForumsと呼ばれる人気のあるハッキングサイトの管理者であるとするDiogo Santos Coelhoに対する起訴状を公開しました。また、司法当局はRaidForumsのサイトにバナーをアップロードし、そのドメインを乗っ取ったことを発表しました。

Coelhoは2022年3月に英国で逮捕されました。彼の米国への引き渡し要求を支持する宣誓供述書に、2021年8月にRaidForumsで広告された特定のデータセットについて記述する部分が含まれています。

"2021年8月11日頃、「SubVirt」と名乗るユーザーが、RaidForumsのウェブサイトに、「SELLING-124M-U-S-A-SSN-DOB-DL-database-freshly-breached.」というタイトルで最近ハックしたデータの売却を申し入れたと投稿しました。" その後、Subvirtはスレッドのタイトルを "SELLING 30M SSN + DL + DOB database "に変更したと、文書は続けている。この文書では、被害者の企業名は記載されておらず、Company 3とされていますが、別の投稿では、「米国でサービスを提供している大手通信会社および無線ネットワーク事業者」に属するデータが確認されたと書かれています。

文書には、この会社が "犯罪者に売られるのを防ぐために、第三者機関に依頼してデータベースへの独占的なアクセス権を購入した "と書かれています。この第三者の従業員が購入希望者を装い、RaidForumsの管理者の仲介サービスを利用して、データのサンプルを5万ドルのビットコインで購入したと、文書には書かれています。その後、その従業員はデータベース全体を約15万ドルで購入し、SubVirtがデータのコピーを削除するという注意書きをしたと、文書には記されています。削除の目的は、盗まれた情報のコピーを持つのがこの潜入者だけとなることで、さらに情報が漏れる可能性を大きく制限することにある。

そんなことはない。文書によると、"共謀者たちは、第三者が購入した後も、データベースを販売しようとしたようだ "とあります。


裁判記録に含まれる情報を確認したところ、この第三者を雇った無名の電気通信会社であるCompany 3は、T-Mobileであった。RaidForumsの特定のスレッドが言及された数日後に、法廷文書で言及された情報漏洩のニュースを最初に明らかにしました。当時、SSNを含むデータを販売している人物に話を聞き、データのサンプルを入手したところ、ハッカーがT-Mobileの顧客に関する正確な情報を持っていることが確認されたそうです。T-Mobileは当時、自社に対するハッキングを調査中であるとの声明を発表しています。その1日後、T-Mobileはハッキングされたことを確認した。

裁判資料には、データを購入した第三者の名前も、それがどのような会社であるかも書かれていない。しかし、T-MobileのCEOであるMike Sievert氏は、8月に発表した過去の声明で、「この事件に関する我々の調査を通じて、世界的なセキュリティ専門家であるMandiantが当初からサポートしていたのですが、この悪者が我々のサーバーに不正侵入する方法がわかり、我々はそれらのアクセスポイントを閉鎖しています」と述べている。「この侵害による顧客データへの継続的なリスクはないと確信しています。」とも述べています。

Mandiantは、サイバー犯罪者に20万ドルを支払った第三者であるかどうかについてのコメントを求めたところ、すぐに返答はありませんでした。2022年3月、MandiantはGoogleに買収されることを発表した。

被害企業は、ハッキングされた後、インシデントレスポンスや脅威インテリジェンス会社を雇い、どのようにハッキングされたかを正確に把握し、さらなる被害拡大に対する緩和策を講じることがよくあります。

このような企業は、ハッカーに対して攻撃的に反撃する「ハッキングバック」など、議論を呼ぶ戦術を展開することがあります。たとえば、ハッカーのコマンド&コントロールやその他のサーバーに侵入して盗まれたデータを確認したり、ハッカーのインフラに干渉したり、ハッカーが誰であるかについての情報を得ようとしたりするのです。ハッキンググループLAPSUS$がNvidiaを標的にした後、同グループはTelegramチャンネルへの投稿で、盗まれたNvidiaデータを保存するために同グループが使用していたマシンに誰かが侵入し、ランサムウェアを展開させたと主張しました。同グループは、具体的な証拠はないものの、これがNvidiaのために行われたと主張した。