サマリー
- AT&T の 2024 年 7 月 12 日付フォーム 8-K によると、脅威アクターが 2024 年 4 月 14 日から 4 月 25 日にかけて、サードパーティのクラウドプラットフォーム上の AT&T ワークスペースに不正にアクセスし、ファイルを窃取した。記録には、2022 年 5 月 1 日頃から 10 月 31 日まで、および 2023 年 1 月 2 日の通話とテキストの通信情報が含まれていた。
- AT&T によれば、データには通話やテキストの内容、社会保障番号、生年月日、その他の類の個人情報は含まれていなかった。しかし、通信に関与した電話番号、その件数、1 日または月ごとの通話時間の集計、一部の記録では 1 つ以上の基地局識別番号が含まれていた。
- このインシデントは、ほぼすべての AT&T ワイヤレス顧客、および AT&T の無線ネットワークを使用する MVNO(仮想移動体通信事業者)の顧客の記録に影響を及ぼした。さらに、AT&T 有線顧客やそれらの無線番号と通信した他事業者の顧客の番号も含まれていた。これにより被害は関係的なものとなった。AT&T ワイヤレスの加入者でなくても、通信グラフに含まれる可能性があった。
- Snowflake キャンペーンに関する公的な記録は重要だが、範囲を限定的に捉える必要がある。Mandiant の UNC5537 レポートによると、Mandiant が直接対応したすべてのキャンペーンインシデントは、漏洩した顧客の認証情報に起因しており、Snowflake のエンタープライズ環境への侵害が不正アクセスの原因である証拠は見つからなかった。AT&T 自身の届出では Snowflake の名前は明記されなかったが、信頼できる報道や広範なキャンペーン記録から、AT&T の窃取被害は Snowflake の顧客環境攻撃と関連付けられている。
- 犯罪行為者が不正アクセスと窃取を実行した。AT&T は、通信メタデータの資産、保持と最小化の選択、クラウドワークスペースの設計、認証情報ガバナンス、サードパーティ依存、顧客通知、提供可能な証拠を管理していた。クラウドプロバイダーは、プラットフォームのセキュリティ機能、テレメトリ、デフォルトのセキュリティ態勢、ハードニングガイダンス、クロスカスタマーキャンペーンの検出を管理していた。
公的開示は正確でありながら、なお憂慮すべきものだった
AT&T の2024 年 7 月 12 日付フォーム 8-Kが主な情報源である。それによると、AT&T は 2024 年 4 月 19 日に、脅威アクターが AT&T の通話ログに不正にアクセスしコピーしたと主張していることを把握した。AT&T はインシデント対応を開始し、外部のサイバーセキュリティ専門家を雇い、脅威アクターがサードパーティのクラウドプラットフォーム上の AT&T ワークスペースに不正アクセスしたと結論付けた。同社は、ファイルが 2024 年 4 月 14 日から 4 月 25 日の間に窃取されたと述べている。
届出はデータの種類を限定している。AT&T によると、ファイルには 2022 年 5 月 1 日頃から 10 月 31 日まで、および 2023 年 1 月 2 日の顧客の通話およびテキストの通信記録が含まれていた。データには、通話やテキストの内容、社会保障番号、生年月日、その他の類の個人識別情報は含まれていなかったという。また、記録には AT&T または MVNO の無線番号と通信した電話番号(AT&T 有線顧客および他事業者の顧客を含む)、その通信件数、1 日または月ごとの通話時間の集計が含まれていた。一部の記録には、1 つ以上の基地局識別番号が含まれていた。
これらの制限事項は重要である。これは通話音声の盗聴でも、テキストメッセージ本文の流出でも、8-K の記録から社会保障番号が盗まれたわけでもない。しかし、制限があってもデータセットが安全というわけではない。通話およびテキストの通信記録は人間関係をマッピングする。誰が誰と、どれくらいの頻度で、時にはどの基地局のコンテキストでつながったかを示す。AT&T 自身も届出の中で、データに顧客名は含まれていないが、公開されているオンラインツールを使えば特定の電話番号に関連付けられた名前を見つける方法がしばしば存在すると認めている。
この一文が核心である。データセットは名前を省いても、リンク可能でありうる。メッセージ本文を省いても、機微な関係性を明らかにしうる。大部分の記録について正確な位置情報を省いても、職業上のネットワーク、家族のつながり、医療関係者、政治的関係者、法執行機関の関係者、内部告発の情報源、危機通話、親密な関係、ビジネスパターンを露呈させるのに十分な構造を含みうる。
AT&T はまた、異例のタイミングの問題を開示した。2024 年 5 月 9 日と 6 月 5 日に、米国司法省は、法執行、国家安全保障、または公安上の懸念から、SEC のサイバーセキュリティ開示遅延プロセスに基づき、公的開示の延期が正当化されると判断した。その後 AT&T は 7 月 12 日に報告書を提出した。この一連の流れは、捜査当局が、盗まれたデータが単なる顧客サービスの不便さではなく、運用上の機微性を持つと考えていたことを示している。
「コンテンツがない」ことは「リスクが低い」ことと同じではない
メタデータという用語は、事務的に聞こえるため誤解を招く可能性がある。通信において、通話とテキストの通信記録は行動そのものである。それは社会的グラフのエッジを示す。クリニック、弁護士、雇用主、ジャーナリスト、労働組合のオルガナイザー、宗教団体、ドメスティックバイオレンスのホットライン、政治団体、学校、債権回収業者、法執行機関との繰り返しの接触を明らかにしうる。単一の番号でも、公的なディレクトリ、データブローカー、ボイスメールメッセージ、ビジネスページ、流出した連絡先リスト、リバースルックアップツールなどを通じて、多くの場合特定が可能である。
この点は長年、プライバシー関連の文献で指摘されてきた。Nature Scientific Reports の論文Unique in the Crowdは、人間の移動軌跡は非常に一意性が高く、少数の時空間ポイントで大規模なモバイルフォンデータセット内のほとんどの個人を区別できることを示した。AT&T の届出は、盗まれたデータセットに全記録の完全な移動軌跡が含まれていたとは述べていない。一部に基地局識別番号が含まれていたと述べている。ここでの教訓はより狭い。部分的な通信の位置情報や相互作用データであっても、単純なスプレッドシートのラベルが示唆する以上に個人を特定できる可能性があるということだ。
電子フロンティア財団(EFF)のWhy Metadata Mattersは、公益の観点から社会的グラフの論点を提示している。通話記録は、通話内容がなくても親密な詳細を明らかにしうる。EFF はアドボカシーソースであり、インシデントの権威ではない。ここで有用なのは、「コンテンツがない」という区別を「害がない」という結論に変換すべきでない理由を説明しているからだ。
連邦通信規則も、通話詳細情報が機微であることを認識している。eCFR CPNI ルールは、顧客情報のプライバシーを規定し、認証なしに通話詳細情報を顧客に開示することを制限している。FCC の古い中小事業者向けコンプライアンスガイドは、顧客専有ネットワーク情報(CPNI)を、通信サービスの量、技術構成、種類、宛先、位置、使用量に関する情報と説明している。盗まれた AT&T ファイルに関する正確な法的分類とルールの適用には、公的記録を超えた法的分析が必要かもしれないが、政策上のポイントは明白である。通信使用記録は、それが通信事業者と顧客の関係を通じてのみ生成されることから、長い間機微なものとして扱われてきた。
これが、メッセージ本文がなくても侵害が重大であった理由である。通信メタデータは、市民社会に関するインフラレベルのコンテキストである。一般消費者、企業、公務員、ジャーナリスト、捜査官、医師、患者、弁護士、情報源、活動家、家族のつながりが含まれる。ほぼすべての無線顧客の通信記録がコピーされた場合、データセットは単に個人的なものではない。それは関係的であり、国家的規模である。
クラウドワークスペースが運用上のボトルネックだった
AT&T の届出は、影響を受けた環境を「サードパーティのクラウドプラットフォーム上の AT&T ワークスペース」と説明した。届出では Snowflake の名前は出ていない。信頼できる報道は、この窃取を広範な Snowflake 顧客認証情報窃取キャンペーンと結びつけており、Snowflake キャンペーンの記録は、2024 年に多くの企業で見られた種類の障害モードを説明している。
Mandiant のUNC5537 キャンペーンレポートは、脅威アクターがデータの窃取と恐喝のために Snowflake の顧客インスタンスを標的にしたと述べている。Mandiant が直接対応したすべてのキャンペーンインシデントについて、根本原因は漏洩した顧客認証情報だった。Mandiant は、Snowflake 顧客アカウントへの不正アクセスが Snowflake のエンタープライズ環境の侵害に起因するという証拠は見つからなかった。Snowflake 自身の不正アクセスに関する通知も同様に、顧客に対して不審な活動の調査とアカウントの強化を求め、一方で、当該活動は Snowflake の脆弱性、設定ミス、または Snowflake プラットフォームの侵害によるものではないと述べている。
CISA は2024 年 6 月 3 日のアラートで Snowflake のガイダンスを増幅し、顧客にインジケーターを確認し、悪意ある活動を調査するよう促した。カナダのサイバーセンターも同様のSnowflake 顧客アカウントへの不正ユーザーアクセスに関するアラートを発行し、悪意ある ID ベースの活動について説明し、Snowflake の声明として、当該活動は Snowflake 製品の脆弱性の結果ではないと指摘している。
この記録から、注意深い説明責任の境界が生まれる。顧客アカウントが盗まれた認証情報でアクセスされた場合、顧客は ID の衛生管理、パスワードのローテーション、MFA の登録、ネットワークポリシー、ロール設計、データ最小化、テナント内の検出を所有する。クラウドプロバイダーは、認証サービス、プラットフォーム機能、ログ、アラート、セキュアバイデフォルトのロードマップ、ハードニングガイダンス、クロスカスタマーキャンペーンの可視性を所有する。攻撃者は犯罪を所有する。
この境界が重要なのは、クラウドデータウェアハウスが価値を集中させるからだ。通信事業者は、分析、課金分析、ネットワーク計画、不正検出、顧客対応、規制報告のために、過去の通信記録をウェアハウスにコピーまたはステージングできる。一度そこに入れば、データはソースシステムに断片化されている場合よりも、クエリやエクスポートが容易になる可能性がある。その分析上の有用性こそが、アクセスの窃取が破滅的になりうる理由である。
認証情報ガバナンスは実装の詳細ではない
Snowflake キャンペーンは、一つのテーマを無視不可能にした。クラウドウェアハウスの認証情報は、データ資産への鍵である。もしアカウントが多要素認証を欠き、パスワードが情報窃取マルウェアによって暴露され、ネットワークアクセスが制限されておらず、ロールが機密テーブルを読み取ったりエクスポートできたりするなら、攻撃者は通常の製品インターフェースを使って異常な害を生み出せる。
Mandiant は、UNC5537 が漏洩した顧客認証情報を使用し、その多くが過去の情報窃取記録から来ており、影響を受けたアカウントは MFA が欠けていたと報告した。Snowflake の現在のMFA ロールアウト文書は、後に同プラットフォームが人間のユーザーに対して単一要素のパスワードサインインを非推奨にし、サービスユーザーに対してパスワードを許可しない方向に進んだことを示している。Snowflake の現在の認証ポリシー文書は、顧客が認証方法、クライアント、MFA 態勢をどのように制限できるかを説明している。これらの現在のコントロールを、2024 年 4 月時点で AT&T が正確に何を設定していたかの証拠として遡及的に読むべきではない。それらは、問題となったコントロールのクラスを示している。
AT&T の公開届出では、そのワークスペースで使用された認証情報、認証方法、ロール、ネットワークコントロール、またはクエリを特定していない。この欠如は重要である。顧客や規制当局は、ファイルが窃取されたことは理解できるが、8-K からは、その失敗が人間のユーザー、サービスアカウント、契約者アカウント、古い認証情報、MFA の欠落、過剰なロール、ネットワークポリシーのギャップ、または他のアクセス経路に関わるものだったのかを見ることはできない。AT&T は、法執行機関、規制当局、Snowflake、保険会社、または影響を受けた当事者に対して、より詳細な情報を非公開で提供した可能性がある。公的な説明責任の記録は依然として部分的である。
全国規模の通信事業者にとって、通話詳細データに関する認証情報ガバナンスは、通常の分析アクセスよりも厳格であるべきだ。人間のユーザーが、パスワードのみのログインで過去の通信データにアクセスできるべきではない。サービスアカウントは、ローテーションとスコープ設定が可能なワークロード認証情報を使用すべきである。契約者アカウントは期限が切れるべきだ。特権ロールはまれであり、監視され、時間制限付きであるべきだ。一括エクスポートには、別の権限または検出経路が必要であるべきだ。通信メタデータに到達できる認証情報は、通常のビジネスインテリジェンスのログインよりも、規制されたインフラへの鍵のように扱われるべきである。
ここでのポイントは、AT&T でどの特定のコントロールが失敗したかを外部から宣言することではない。ポイントは、もしコントロールチェーンの十分な部分がアクセスとエクスポートを許さなければ、これほど大規模な公的な損失は起こりえなかったということである。盗まれたパスワードだけでは、国家規模の通信相互作用データセットの削除には十分であるべきではない。
ネットワークとエクスポートコントロールは第二のゲートだった
ID は第一のゲートである。ネットワークとエクスポートコントロールは第二のゲートである。Snowflake の現在のネットワークポリシー文書には、ネットワークポリシーがない場合、ユーザーは任意のコンピューターまたはデバイスから接続でき、顧客は許可またはブロックする IP 範囲を定義し、アカウントまたはユーザーレベルでポリシーを適用できると述べられている。機密性の高い通信データを保存する顧客にとって、無制限のパブリックログインサーフェスは、通常の運用状態ではなく、高リスクの例外である。
ネットワーク制限は魔法ではない。攻撃者は承認された VPN を使用したり、契約者のデバイスを侵害したり、正当な認証後にセッションを乗っ取ったりする可能性がある。しかし、独立したゲートは重要である。認証情報が盗まれても、ネットワークの許可リストが、未知のインフラからの使用をブロックできる。ネットワークの発信元が許可されていても、MFA がパスワードの使用をブロックできる。認証が成功しても、最小権限がテーブルを制限できる。テーブルが読み取り可能でも、エクスポートコントロールと異常検出が、大規模なアンロードを検出または中断できる。このインシデントは、階層化された障害耐性の必要性を示している。
エクスポートは別個の扱いを受けるに値する。なぜなら、ウェアハウスはクエリに答え、結果を移動させるために構築されているからだ。Snowflake の現在のLOGIN_HISTORY、QUERY_HISTORY、ACCESS_HISTORYビューは、顧客が誰がログインし、何が実行され、どのロールとセッションが関与し、どのオブジェクトが触れられ、どれだけのデータが移動したかを調査するために使用できる証拠の種類を説明している。これらのログは、保持され、レビューされ、必要に応じてセキュリティシステムにエクスポートされ、対応権限に接続されなければ価値がない。
AT&T の届出は、ファイルが 2024 年 4 月 14 日から 4 月 25 日の間に窃取されたと述べている。この 11 日間のウィンドウは、明らかなコントロール上の疑問を提起する。最初の異常なログインはいつ見えたのか?クエリやアンロードの動作が異常になったのはいつか?どのボリュームしきい値でアラートが発生すべきだったか?ワークスペースには、影響を受けるすべての記録がすでにエクスポート用にステージングされたファイルで保持されていたのか、それとも攻撃者の活動中にファイルが作成されたのか?ファイルはエクスポート後の機密度を低下させる方法で暗号化またはトークン化されていたか?基地局識別子は、特定のユースケースに必要だったから通話相互作用記録と共に保存されていたのか、それとも過去のデータが蓄積されていたからか?
公的記録はこれらの疑問に答えていない。これは調査結果であり、推測ではない。信頼できる事後説明責任パッケージは、アクセス経路を高レベルで説明し、それを検出したコントロール、欠落またはバイパスされたコントロール、関係する保持期間、露出したフィールド、そして同等のエクスポートを防ぐために現在講じられている措置を説明するだろう。
保持が古い記録を再び現在のものにした
盗まれた記録は主に 2022 年のものと、2023 年 1 月の 1 日分だった。それらは 2024 年 4 月に窃取された。このギャップは、分析を侵害対応からデータ保持へとシフトさせる。なぜ 2022 年の 6 か月間の記録が、2024 年になってもエクスポート可能なクラウドワークスペースに存在していたのか?その正確なデータセットをアクセス可能にしておく必要がある、どのようなビジネス上、規制上、運用上、訴訟上、課金上、ネットワーク上、分析上の目的があったのか?集約、トークン化、パーティション化、オフラインアーカイブ、または削除できなかったのか?
通信記録は通常の使い捨てログではない。通信事業者は、課金、紛争解決、不正、ローミング決済、ネットワーク運用、法執行機関のコンプライアンス、税務、規制報告、顧客アクセスのために使用データを必要とする場合がある。AT&T 自身のサポートページでは、ワイヤレス顧客に対して利用状況の確認や通話・テキスト利用明細のダウンロード方法を案内している。これは、なぜそのようなデータが存在するかを示している。しかし、すべての過去の相互作用ファイルが、2024 年 4 月 14 日時点で問題のワークスペースでクエリ可能である必要があったことを示してはいない。
保持は、時間がリスクを変えるため、コントロールである。2022 年 6 月の課金に必要な記録は、2024 年 4 月までには必要性が低くなるか、集約された形でのみ必要になる可能性がある。ネットワークのトラブルシューティングに必要な基地局識別子は、広範な相互作用ファイルに付随させ続ける必要はないかもしれない。日次または月次の集計は、すべての関係エッジを高権限ワークスペースに保存せずとも、ビジネス目的を果たすかもしれない。データセットは分析に価値がありながらも、最も生の形で保持するには機密性が高すぎる可能性がある。
説明責任の問いは「なぜ AT&T は通話記録を持っていたのか」ではない。通信事業者は通話記録を持たなければならない。問いは、なぜこの特定のデータセットが、この範囲で、これらのフィールドを持ち、サードパーティのクラウド環境でアクセス可能であり、攻撃者が使用したアクセス経路でエクスポート可能な状態にあったのか、である。データ最小化は、しばしばプライバシー原則として議論される。ここでは、それは影響範囲のコントロールでもある。
ロケーションと主権はリージョン選択以上のものである
Snowflake のリージョン文書は、Snowflake アカウントが選択されたリージョンにホストされ、ユーザーがコピー、移動、またはレプリケーションを行わない限り、データはそのリージョンに留まると説明している。また、重要な制限についても述べている。リージョンはデータが保存され、コンピュートリソースがプロビジョニングされる場所を決定するが、Snowflake へのユーザーアクセスを制限するものではない。この区別は、AT&T のケースにおいて中心的である。
データの局所性は、法律、レイテンシー、ガバナンスに役立つ。しかし、それ自体では、有効な、あるいは盗まれた ID が他からログインし、データをクエリし、ファイルをダウンロードすることを阻止しない。ストレージのリージョンは変わらず、攻撃者が予期された環境外に制御不能なコピーを作成する可能性がある。その意味で、ID とエグレスコントロールのない局所性は、配置ルールであり、主権の保証ではない。
通信メタデータにとって、主権にはいくつかの次元がある。物理的な局所性は、ウェアハウスがデータを保存・処理する場所に関係する。法的な局所性は、どのプライバシー、通信、証券、法執行、侵害通知の義務が適用されるかに関係する。運用上の局所性は、誰がどのネットワークから、どの ID 証明の下で、どの目的でデータにアクセスできるかに関係する。証拠の局所性は、ログ、クエリ履歴、インシデントアーティファクトが、露出を再構築するために利用可能かどうかに関係する。
AT&T の届出は、リージョン、クラウドプロバイダー、ワークスペースアーキテクチャ、またはエグレス経路の詳細を提供しなかった。インシデント開示が通常アーキテクチャ図を公開しないという点では、あるレベルで理解できる。しかし、その欠如は、一般市民が、データが静止時にのみ局所化されていたのか、それともライフサイクル全体を通じて管理されていたのかを評価できないことを意味する。全国規模の通信事業者のメタデータは、アクセスガバナンスが失敗すれば、物理的なデータセンターの障害がなくても、保護された運用環境から制御不能なコピーへと移行しうる。
同じ点はベンダーにも当てはまる。FCC の 2024 年のAT&T ベンダークラウド侵害和解は、2024 年の Snowflake 関連の通話ログ窃取ではなく、別の 2023 年 1 月のベンダークラウド環境での侵害に関するものだった。それでもなお関連性がある。なぜなら FCC は、AT&T がベンダーが顧客情報を適切に保護し、契約で要求された通りに返却または破棄することを確実にしなかったと述べたからだ。FCC リリース PDFは、ベンダー管理とデータライフサイクル義務を強調した。この規制上の姿勢は、顧客情報をベンダーやクラウド環境に移しても、説明責任は通信事業者から移らないことを明確にしている。
開示遅延が公共安全の側面を露呈させた
AT&T は 2024 年 7 月 12 日に届出を行ったが、これは司法省が公的開示を遅延できると二度判断した後のことだった。SEC のプロセスは、一部のサイバーセキュリティ開示が法執行や国家安全保障の業務を妨げる可能性があるために存在する。AT&T のケースでは、遅延は記録の機密性と捜査の重要性を示すシグナルである。
このデータは、複数の方法で法執行にとって重要でありうる。エージェント、秘密情報提供者、目撃者、被害者、検察官、裁判官、弁護人、捜査対象に関連する電話番号が含まれている可能性がある。連絡チェーンを明らかにするかもしれない。犯罪者が特定の期間に誰が誰と話したかを推測するのに役立つかもしれない。AT&T の顧客ではないが、AT&T または MVNO の無線番号と通信した人物を露呈させる可能性がある。AT&T の届出には、届出日時点で少なくとも 1 人が逮捕されており、AT&T は法執行機関と協力しているとある。その後の司法省の資料であるUnited States v. Connor Riley Moucka and John Erin Binnsでは、保護されたコンピューターネットワークをハッキングし、機密情報を盗み、リークを脅し、データを販売する計画の疑いがかけられている。これらの容疑は証明されない限りは主張に過ぎないが、Snowflake 顧客恐喝活動を巡る法執行の枠組みを示している。
遅延はまた、顧客通知の緊張も生み出した。開示が捜査や公共の安全を損なう場合、顧客に即座に知らせることはできなかった。しかし、遅延した通知は、顧客が限定的な保護措置さえも取れないままにする。通話ログの露出はパスワードリセットとは異なるため、通知の実際的な価値は、認証情報の変更というよりも、認識、詐欺リスク、機微な関係リスクに関するものである。被害者は 2022 年の電話の会話をローテーションすることはできない。しかし、恐喝、嫌がらせ、ドキシング、標的型フィッシング、関係データの悪用に注意することができる。
AT&T の詐欺とセキュリティに関するリソースは、電話やテキストの詐欺、スミッシング、報告に関する一般的なアドバイスを提供している。このガイダンスは有用だが、通話詳細の露出に対する完全な救済策ではない。顧客は、何が含まれ、何が含まれていなかったか、自分の記録が影響を受けたかどうか、通話またはテキスト送信先の番号が露出したかどうか、そして会社が何を提供できるかを理解する必要がある。AT&T の届出は、現在および過去の影響を受けた顧客に通知を提供すると述べているが、この種の公的な通知は関係グラフを消し去ることはできない。
顧客だけが記録に含まれる人物ではなかった
8-K の最も重要な詳細の一つは、記録に AT&T または MVNO の無線番号と相互作用した番号が含まれていたことであり、これには AT&T 有線顧客や他事業者の顧客も含まれる。これは、データセットに AT&T ワイヤレス顧客以外の人物に関する情報が、AT&T 顧客との相互作用を通じて含まれていたことを意味する。
これは関係的プライバシーの問題である。「当社の顧客」を中心とした侵害通知モデルは、データ内に対応者として現れる人々を見逃す可能性がある。AT&T 加入者が医師、学校、労働組合事務所、情報源、他事業者の家族、またはビジネス顧客に電話をかけた場合、相手の番号が存在しうる。その相手は、AT&T のワイヤレスアカウントに関する顧客関係にないため、直接通知を受け取ることは決してないかもしれない。しかし、データはその人物が AT&T 番号と相互作用したことを明らかにする。
同じ問題は法執行やジャーナリズムにも現れる。記者の情報源は AT&T 顧客ではないかもしれないが、AT&T 顧客がその番号に電話したために、情報源の番号が現れる可能性がある。刑事の秘密の連絡先は AT&T 加入者ではないかもしれないが、刑事の電話記録を通じて相互作用が見えるかもしれない。中小企業の顧客は、事業主への電話を通じて現れるかもしれない。プライバシー害は、アカウント境界ではなくエッジに沿って伝わる。
これはデータ最小化に影響を与えるべきである。関係データセットは、データ保有者と直接のサービス関係に同意したことのない多くの人々に関する情報を含むため、分離された顧客プロファイルよりも強力な管理に値する。通信会社は、ネットワークがルーティング、課金、運用を行う必要があるため、この情報を収集する。その必要性は、保持規律を高めるべきであり、低下させるべきではない。
また、インシデント後に提供される証拠にも影響を与えるべきである。影響を受けた顧客は、自分のアカウントに関連する侵害された電話番号を入手する方法を必要とするかもしれないが、認証され注意深く提供されなければ、それ自体が二次的なプライバシーリスクを生み出す。AT&T は、透明性と、通知プロセスを通じて相手方を再び露出させるリスクとのバランスを取らなければならなかった。これは難しい。だからこそ、元のデータセットの広範なエクスポートが非常に危険だったのである。
FCC 和解の文脈がベンダー説明責任の問いを鮮明にした
FCC の 2024 年 9 月の AT&T 和解は、別の侵害に関するものだったが、同じ説明責任の時期に到来し、明確なメッセージを伴っていた。通信事業者は、ベンダークラウド環境を通じて取り扱われる顧客情報に対して責任を負い続ける。FCC は、2023 年 1 月のベンダー侵害が、ベンダー関係が終了した後に保持されていたデータに関係しており、AT&T がベンダーが顧客情報を適切に保護し、返却または破棄することを確実にしなかったと述べた。AT&T は 1300 万ドルの支払いと、プライバシーおよびサイバーセキュリティの改善を実施することに同意した。
この和解は、Snowflake 関連の通話ログ窃取と混同されるべきではない。データセット、タイムライン、事実が異なる。しかし、規制上の文脈として非常に関連性が高い。FCC がベンダークラウドデータ、契約管理、保持、破棄、通信事業者の監督をプライバシーとサイバーセキュリティの義務として見ていることを示している。これらはまさに、2024 年の通話ログ窃取によって提起されたカテゴリーである。どのデータが、どこに、誰の管理下で、どれだけの期間保持され、どのような保護の証拠があったのか?
クラウド依存は抜け穴ではない。通信事業者はストレージ、処理、分析、サポート機能をアウトソーシングできるが、顧客は通信事業者との関係に留まる。顧客はデータウェアハウスを選択しない。ワークスペースを設定しない。どのベンダーがどのフィールドを持っているか知らない。ネットワークポリシーや MFA を監査できない。分析環境から古い通話詳細記録を削除できない。したがって、説明責任は、データライフサイクルについては通信事業者に、販売するプラットフォームコントロールについてはクラウドプロバイダーに残る。
最も強力な通信事業者プログラムは、コアネットワークシステム外のすべての機密通信データセットをマッピングし、目的、所有者、保持、リージョン、エクスポート経路を文書化し、強力な認証とネットワーク管理を要求し、可能であれば生の識別子を分析テーブルから分離し、アクセスをログに記録してレビューし、インシデント対応をテストし、データセットやベンダー関係が終了したときに削除を検証するだろう。FCC 和解は、これを願望というよりも規制上の警告にしている。
Snowflake のその後のハードニングは、共有責任がどうなりうるかを示している
広範なキャンペーンの後、Snowflake はより強力な ID ベースラインへと移行した。その MFA ロールアウト文書は、単一要素のパスワードサインインを非推奨化することを説明している。認証ポリシーガイダンス、ネットワークポリシー文書、Trust Center の態勢チェックは、プロバイダーが繰り返される顧客のコントロール失敗を製品化されたガードレールに変えようとしていることを示している。これは、AT&T の 2024 年 4 月の窃取の事実を書き換えるものではない。共有責任が静的ではないことを示している。
クラウドプロバイダーはよく、顧客が ID とアクセスの設定に責任を負うと言う。それは真実だが、不完全である。プロバイダーは、MFA がオプションかデフォルトか、パスワードのみのサービスユーザーが許可されるか、リスクの高いログインが検出されるか、ネットワークポリシーが展開しやすいか、セキュリティ態勢が見えるか、ログがフォレンジックに十分か、クロスカスタマーキャンペーンが迅速に認識されるかを決定する。顧客は、誰がアクセスを得るか、どのロールが読み取れるか、ポリシーが設定されているか、どのデータが保存されているか、アラートにどれだけ迅速に対応するかを決定する。
Snowflake キャンペーンは、データ集中とベースライン ID 態勢の間の不一致を露呈した。多くの企業が、非常に価値の高いデータセットをクラウドウェアハウスに配置しながら、一部のアカウントを弱いまたは古い認証のままにしていた。プロバイダーはアカウント全体のパターンを見ることができた。各顧客は自分の環境しか見えなかった。この非対称性は、プロバイダーに警告、促進、デフォルト設定、最終的には施行の義務を与える。
AT&T にとって、共有責任は通信事業者の責任を軽減しない。それを明確にする。AT&T はデータ所有者であり通信事業者であった。どの過去の記録がワークスペースに入るか、どの ID がそれらに到達できるか、どれだけ長く留まるか、どのコントロールが必要かを選択した。クラウドプロバイダーはプラットフォームとセキュリティ管理を提供した。犯罪行為者が連鎖を悪用した。説明責任は、最初の契約境界で止まるのではなく、連鎖に従う。
顧客ができたこととできなかったこと
通常の AT&T 顧客には、侵害を防ぐ実際的な能力はほとんどなかった。顧客は別のウェアハウスを選ぶことも、AT&T のワークスペースに MFA を要求することも、古い通話記録を削除することも、AT&T のクラウドログを検査することもできなかった。通知後、顧客は詐欺を監視し、予期しない電話やテキストに注意し、AT&T に情報を求めることができた。これらの行動は、露出したデータが過去の関係や相互作用を記述していたため、限定的である。
この非対称性は、インシデント後のサポートを形作るべきである。顧客は、メタデータを過小評価しない平易な説明を必要とする。コンテンツが含まれていなかったが、関係記録が含まれていたことを知る必要がある。自分のアカウントが影響を受けたかどうか、どのカテゴリが適用されたかを知る必要がある。実際の連絡先を参照する標的型フィッシングについての警告が必要である。センシティブな職業では、よりカスタマイズされたアドバイスが必要かもしれない。ジャーナリスト、法執行職員、ドメスティックバイオレンス支援者、医療従事者、公務員、通話パターンが顧客を明らかにしうる事業者などである。
AT&T のプライバシー通知は、同社の顧客情報の取り扱いと選択肢を一般的な言葉で説明している。(AT&T プライバシー通知)プライバシー通知はインシデントの事後分析ではないが、情報の使用と保護に関する顧客の期待を設定するため重要である。このインシデントは、それらの期待が、ポリシーの文言だけでなく、分析ワークスペースのライフサイクル管理によって裏付けられているかどうかを問うている。
顧客はまた、問題が封じ込められたという永続的な証拠を必要とする。AT&T は、不正アクセスの経路を遮断し、届出日時点でデータが公開されているとは考えていないと述べた。これは重要だが、封じ込めがどのように検証されたか、コピーが回収または削除されたか、身代金や恐喝の要求があったか、どのような監視が残っているか、どのような長期的な管理変更が行われたかについての詳細は、依然として一般には不足している。一部の詳細は正当な理由で機密かもしれない。それでも、集計的かつアーキテクチャ的なコミットメントは、攻撃者を助けることなく公開できる。
マテリアリティは説明責任を解決しなかった
AT&T は 8-K の中で投資家に対し、入手可能な情報に基づき、このインシデントは AT&T の財政状態や経営成績に重大な影響を与えておらず、その可能性も合理的に低いと伝えた。この証券法上の声明は重要だが、インシデントが軽微な結果だったという公益上の判断と混同すべきではない。投資家にとってのマテリアリティと、顧客にとってのセンシティビティは、関連しているが異なる問題である。
通信メタデータの窃取は、大規模な通信事業者にとって財務的に管理可能であり得るが、社会的には深刻でありうる。直接的なコストは、保険、訴訟戦略、顧客通知費用、法執行協力、修復予算を通じて封じ込められるかもしれない。影響を受けたデータには、大量のアカウントリセットを必要とするパスワードが含まれていない可能性がある。同社は、収益、流動性、運営が実質的に脅かされていないと結論付けるかもしれない。そのいずれも、ほぼすべての無線顧客にわたる数ヶ月分の関係グラフのプライバシー上の重大性を変えるものではない。
この区別は、インシデント報告がしばしば財務的マテリアリティの文言を公的な見出しとして使用するために重要である。証券届出は投資家向けに設計されている。顧客は、それが入手可能な最も詳細な公式の情報源であることが多いため、それを読む。唯一の公式の物語が、予想される重大な財務的影響はなかったことを強調するならば、顧客はその出来事が重大ではなかったと推測するかもしれない。今回のケースでは、同じ届出がほぼすべてのワイヤレス顧客の相互作用記録と、司法省が承認した開示遅延についても説明していた。これらの詳細は逆の方向を指している。
したがって、説明責任の記録は同時に二つの真実を保持すべきである。AT&T は、知る限り重大な財務的影響を予想していないと合理的に投資家に伝えることができる。規制当局、顧客、公益オブザーバーは、メタデータの規模とセンシティビティのために、このインシデントを重大なものとして扱うことも合理的である。成熟した開示は、両方の意味を明確にするだろう。財務的に限定されていることは、社会的に軽微であることを意味しない。
マテリアリティはまた、管理上の疑問に答えない。侵害は、会社が大規模であるために財務的に重要でない可能性があるが、それは管理が適切だったからではない。運用の中断を回避しながらも、機密データを露出させる可能性がある。即時の顧客離れを回避しながらも、規制圧力を高める可能性がある。逆に、小規模な会社は、センシティビティの低いデータセットから重大な財務的結果に直面するかもしれない。投資家レンズは必要だが、完全な説明責任レンズではない。
通信事業者にとって、この区別はガバナンスに組み込まれるべきである。取締役会と経営陣は、投資家のマテリアリティだけでなく、クリティカルデータイベントも追跡すべきである。CPNI に類する記録、通話詳細データ、位置関連フィールド、法執行上機微な記録、脆弱な人口集団の通信、全国規模の関係データセットを含むインシデントである。これらのイベントは、損益計算書がそれらを吸収できる場合でも、取締役会の注意に値する。
同じ原則がクラウド分析レビューを形作るべきである。データセットは、その窃取が財務的に管理可能かもしれないという理由だけで、より低い保護を受けるべきではない。保護は、センシティビティ、規模、識別可能性、関係的害、法的義務、公共の信頼に基づくべきである。その基準によれば、AT&T の通話およびテキストの相互作用記録は、予想される財務諸表への影響に関係なく、最高の内部保護層に属していた。
説明責任のテスト
AT&T のインシデントは、6 つのコントロールに対して判断されるべきである。
第一に、最小化。機微な通信の相互作用記録は、現在の文書化されたニーズがある場合にのみ、生のエクスポート可能な形で存在すべきである。古いデータは、可能な場合、集計、トークン化、または制限されたアーカイブに移行すべきである。
第二に、アクセス。生の通話・テキスト相互作用データに到達できるいかなる ID も、強く認証され、狭くスコープされ、監視され、時間制限されるべきである。人間のパスワードのみのアクセスは受け入れられるべきではない。サービス認証情報は、ワークロード固有でローテーションされるべきである。
第三に、エグレス。国家規模の通信記録の一括エクスポートは、検出、スロットリング、承認、または迅速な封じ込めを必要とする高リスクの行動として扱われるべきである。誰も窃取後まで行動しなければ、クエリログだけでは不十分である。
第四に、局所性。データリージョンとクラウド配置は、ID、ネットワーク、エクスポート、証拠の管理と一致させるべきである。盗まれた認証情報がコピーを移動できる場合、データがどこに静止しているかによって主権は達成されない。
第五に、通知。公的開示は、法執行のニーズを保ちつつ、顧客にメタデータリスクについて明確で過小評価しない情報を提供すべきである。「コンテンツがない」は「関係データが露出された」と対にされるべきである。
第六に、ベンダーガバナンス。通信事業者は、サードパーティのクラウドおよびベンダー環境が、通信のセンシティビティに比例した管理の下で、顧客情報を保護、保持、返却、破棄することを証明できるべきである。FCC のベンダークラウド和解の文脈は、これを生きた規制上の期待にしている。
最終的な結論は明快である。AT&T は、このインシデントにおいて通話内容や社会保障番号の窃取を開示しなかった。それは異なる、それでもなお重大な何かを開示した。すなわち、ほぼすべての無線顧客の数ヶ月にわたる通話およびテキストの相互作用に関する大規模な関係マップを、クラウドワークスペースから取られたものとして開示した。通信事業者において、メタデータは排気ガスではない。それは接続の地図である。いったんその地図がクラウドデータプラットフォームに集中されれば、説明責任は、なぜそれがそこにあるのか、誰がそれをクエリできるのか、どのようにそれが去るのか、どれだけ長く生きるのか、そして地図が盗まれたときにどのような証拠が残るのかを決定する人々に属する。

