概要

  • AT&T の2024年7月12日の Form 8-K では、脅威アクターが2024年4月14日から4月25日にかけて、サードパーティのクラウドプラットフォーム上の AT&T ワークスペースに不正アクセスし、ファイルを流出させたとされている。記録には、2022年5月1日から10月31日までと、2023年1月2日の通話およびテキスト通信のやり取りが含まれていた。
  • AT&T によると、データには通話やテキストの内容、社会保障番号、生年月日、その他同種の個人情報は含まれていなかった。しかし、やり取りに関与した電話番号、カウント、1日または1か月あたりの集計通話時間、一部の記録では1つ以上のセルサイト識別番号が含まれていた。
  • このインシデントは、ほぼ全ての AT&T 無線通信顧客と、AT&T の無線ネットワークを利用する MVNO(仮想移動体通信事業者)の顧客の記録に加え、AT&T の有線通信顧客や、それらの無線番号と通信した他社顧客の番号にも影響を及ぼした。このため被害は関係性を持つものとなり、AT&T の無線通信契約者でなくても、インタラクショングラフに現れる可能性が生じた。
  • Snowflake を標的としたキャンペーンの公的な記録は重要だが、その範囲を限定する必要がある。Mandiant の UNC5537 レポートでは、同社が直接対応した全てのキャンペーンインシデントは、侵害された顧客認証情報に起因しており、不正アクセスが Snowflake の企業環境の侵害に端を発した証拠はないとしている。AT&T 自身の提出書類では Snowflake の名前は挙げられなかったが、信頼できる報道やより広範なキャンペーンの記録から、AT&T のデータ窃取は Snowflake 顧客環境への攻撃と関連付けられている。
  • 犯罪者が不正なアクセスと窃取を実行した。AT&T は、通信メタデータ資産、保持・最小化の選択、クラウドワークスペース設計、認証管理、サードパーティ依存、顧客通知、提供可能な証拠を管理していた。クラウドプロバイダーは、プラットフォームのセキュリティ機能、テレメトリ、デフォルト設定、強化ガイダンス、クロスカスタマーキャンペーン検出を管理していた。

公開情報は正確でありながら、依然として警戒すべき内容

AT&T の2024年7月12日の Form 8-Kが基本情報源である。それによると、AT&T は2024年4月19日に、脅威アクターが AT&T の通話記録に不正にアクセスし複製したと主張していることを把握した。AT&T はインシデント対応を開始し、外部のサイバーセキュリティ専門家を起用し、脅威アクターがサードパーティのクラウドプラットフォーム上の AT&T ワークスペースに不正アクセスしたと結論付けた。同社は、2024年4月14日から4月25日の間にファイルが流出したと述べている。

提出書類はデータの種類を限定している。AT&T は、ファイルには2022年5月1日から10月31日までと、2023年1月2日の顧客の通話およびテキスト通信の記録が含まれていたと述べた。また、通話やテキストの内容、社会保障番号、生年月日、その他その種の個人識別情報は含まれていないと述べた。さらに、記録には AT&T または MVNO の無線番号が通信した電話番号(AT&T の有線顧客や他社顧客を含む)、そのやり取りの回数、1日または1か月の集計通話時間が特定され、一部の記録には1つ以上のセルサイト識別番号が含まれていた。

これらの制限は重要である。この事件は通話音声の盗聴、テキストメッセージ本文の流出、8-K 記載の SSN の窃取ではなかった。しかし、その制限によって当該データセットが安全になるわけではない。通話・テキストのやり取り記録は関係性をマッピングする。誰が誰と、どれくらいの頻度で、場合によってはどのセルサイトのコンテキストで接続していたかが示される。AT&T 自身も提出書類の中で、「データには顧客名は含まれていないが、公開されているオンラインツールを使って特定の電話番号に関連付けられた名前を見つける方法が多く存在する」ことを認めている。

この一文が要点である。データセットは氏名を省いていても紐付け可能だ。メッセージ本文を省いていても機微な関係性を明らかにしうる。大部分の記録で正確な位置情報を省いていても、職業上のネットワーク、家族関係、医療関係、政治関係、法執行機関との関係、機密情報源、緊急通報、親密な関係、ビジネスパターンを露呈するに十分な構造を保持している。

AT&T はまた、異例のタイミング問題を開示した。2024年5月9日と6月5日、米国司法省は、法執行、国家安全保障、または公安上の懸念を理由に、SEC のサイバーセキュリティ開示遅延プロセスの下で公開を遅らせることが正当化されると判断した。AT&T はその後、7月12日に報告書を提出した。この一連の流れは、捜査当局が、窃取されたデータが単なる顧客サービスの不都合ではなく、運用上機微であると見なしていたことを示している。

「コンテンツなし」は「リスクが低い」と同じではない

「メタデータ」という語は、管理上のものに聞こえるため誤解を招きかねない。通信業界では、通話やテキストのやり取り記録は行動そのものである。それらはソーシャルグラフのエッジを示す。クリニック、弁護士、雇用主、ジャーナリスト、労働組合組織者、宗教団体、ドメスティックバイオレンスホットライン、政治家事務所、学校、債権回収業者、法執行機関との繰り返しの接触を明らかにしうる。単一の番号は、公的ディレクトリ、データブローカー、ボイスメールメッセージ、ビジネスページ、流出した連絡先リスト、リバースルックアップツールなどを通じて、多くの場合解決可能である。

プライバシー関連の文献はこの点を長年指摘してきた。Nature Scientific Reports の論文Unique in the Crowdは、人間の移動履歴が極めて一意であり、少数の時空間ポイントで大規模な携帯電話データセット内のほとんどの個人を区別できることを明らかにした。AT&T の提出書類は、窃取されたデータセットに全レコードの完全な移動履歴が含まれていたとは述べていない。一部にセルサイト識別番号が含まれていたと述べているに過ぎない。教訓はより限定的である。部分的であっても、通信位置情報とやり取りデータは、単純なスプレッドシートのラベルが示す以上に個人を識別できる可能性がある。

電子フロンティア財団(EFF)のWhy Metadata Mattersは、通話記録が通話内容なしでも機密の詳細を明らかにしうることを公共の利益の観点から指摘している。EFF はアドボカシー団体であり、インシデントの権威筋ではない。ここで有用なのは、「コンテンツなし」という区別が「無害」という結論に変換されるべきでない理由を説明しているからだ。

また、連邦通信規則も、通話詳細情報が機微であることを認識している。eCFR CPNI ルールは顧客情報のプライバシーを規定し、認証なしに通話詳細情報を顧客に開示する方法を制限している。FCC の旧中小企業向けコンプライアンスガイドでは、顧客専有ネットワーク情報(CPNI)は、通信サービスの利用量、技術設定、種類、宛先、場所、利用量に関する情報を含むと説明されている。窃取された AT&T ファイルに対する正確な法的分類とルールの適用には、公開記録を超える法的分析が必要かもしれないが、政策的なポイントは明らかだ。通信利用記録は、それが排他的にキャリアと顧客の関係によって生成されるため、長らく機微なものとして扱われてきた。

このため、当該侵害はメッセージ本文を含まないにもかかわらず、重大であった。通信メタデータは、市民社会に関するインフラレベルのコンテキストである。一般消費者、企業、公務員、ジャーナリスト、捜査官、医師、患者、弁護士、情報源、活動家、家族の繋がりが含まれる。ほぼ全ての無線顧客のやり取り記録が複製された場合、そのデータセットは個人的なだけでなく、関係性を持ち、国家的規模となる。

クラウドワークスペースが運用上のボトルネックだった

AT&T の提出書類は、影響を受けた環境を「サードパーティのクラウドプラットフォーム上の AT&T ワークスペース」と表現していた。提出書類は Snowflake の名前を挙げていなかった。信頼できる報道は、この窃取をより広範な Snowflake 顧客認証情報窃取キャンペーンと結び付け、Snowflake キャンペーンの記録は、2024年に多くの企業で見られた種類の障害モードを説明している。

Mandiant のUNC5537 キャンペーンレポートは、脅威アクターがデータ窃取と恐喝のために Snowflake 顧客インスタンスを標的としたと述べている。Mandiant が直接扱った全てのキャンペーンインシデントにおいて、根本原因は侵害された顧客認証情報だった。Snowflake の企業環境の侵害から不正アクセスが発生したという証拠は見つかっていない。Snowflake 自身の不正アクセスに関する通知も、顧客に対して異常なアクティビティの調査とアカウントの強化を求めつつ、このアクティビティが Snowflake の脆弱性、設定ミス、または Snowflake プラットフォームの侵害に起因するものではないと述べている。

CISA は2024年6月3日のアラートで Snowflake のガイダンスを増幅し、顧客に指標を確認し、悪意のあるアクティビティを調査するよう促した。カナダのサイバーセンターも同様のSnowflake 顧客アカウントへの不正アクセスに関するアラートを発行し、悪意のある ID ベースのアクティビティについて説明し、Snowflake がこのアクティビティは Snowflake 製品の脆弱性に起因するものではないと述べていることに言及した。

この記録は、注意深いアカウンタビリティの境界線を生み出す。顧客アカウントが流出した認証情報でアクセスされた場合、顧客は ID の健全性、パスワードローテーション、MFA の登録、ネットワークポリシー、ロール設計、データ最小化、テナント内の検出について責任を負う。クラウドプロバイダーは認証サービス、プラットフォーム機能、ログ、アラート、セキュアバイデフォルトのロードマップ、強化ガイダンス、クロスカスタマーキャンペーンの可視性に責任を負う。攻撃者は犯罪の責任を負う。

この境界線が重要なのは、クラウドデータウェアハウスが価値を集中させるからだ。通信事業者は、分析、課金分析、ネットワーク計画、不正検出、顧客対応、規制報告書作成などのために、過去のやり取り記録をウェアハウスにコピーまたはステージングすることができる。そこでは、ソースシステムに断片化されている場合よりも、データのクエリやエクスポートが容易になる可能性がある。この分析上の有用性こそが、不正アクセスが壊滅的になりうる理由である。

認証情報管理は実装の詳細ではない

Snowflake キャンペーンは一つのテーマを無視できないものとした。クラウドウェアハウスの認証情報は、データ資産への鍵である。そのアカウントが多要素認証を欠き、パスワードが情報窃取マルウェアによって暴露され、ネットワークアクセスが制限されておらず、ロールが機密テーブルを読み取りまたはエクスポートできる場合、攻撃者は通常の製品インターフェースを使用して異常な損害をもたらすことができる。

Mandiant は、UNC5537 が侵害された顧客認証情報を使用し、その多くが過去の情報窃取マルウェアの記録に由来し、影響を受けたアカウントが MFA を欠いていたと報告している。Snowflake の現在のMFA ロールアウトドキュメンテーションは、後にプラットフォームが人間ユーザーに対する単一要素パスワードサインインの非推奨化と、サービスユーザーに対するパスワードの不使用化に向けてどのように動いたかを示している。Snowflake の現在の認証ポリシードキュメンテーションは、顧客が認証方法、クライアント、MFA の状態を制限する方法を説明している。これらの現在の管理策を、2024年4月時点で AT&T が何を設定していたかの証拠として遡って読むべきではない。それらは重要だった管理策の種類を示している。

AT&T の公的な提出書類は、そのワークスペースで使用された認証情報、認証方法、ロール、ネットワーク管理策、クエリを特定していない。この不在は重要だ。顧客や規制当局はファイルが流出したことは理解できるが、8-K からは、その障害が人間ユーザー、サービスアカウント、請負業者アカウント、古くなった認証情報、MFA の欠如、過剰なロール、ネットワークポリシーのギャップ、または他のアクセス経路のいずれに起因するものかを見ることはできない。AT&T は法執行機関、規制当局、Snowflake、保険会社、または影響を受けた当事者に対して、より詳細な情報を非公開で提供した可能性がある。公的な説明責任の記録は部分的に留まっている。

全国規模の通信事業者にとって、通話詳細データに関する認証情報管理は、通常の分析アクセスよりも厳格であるべきである。人間ユーザーがパスワードのみのログインで過去のやり取りデータにアクセスできてはならない。サービスアカウントは、ローテーション可能でスコープが限定されたワークロード認証情報を使用すべきである。請負業者アカウントは期限が切れるべきである。特権ロールは希少であり、監視され、時間制限されるべきである。バルクエクスポートには別の権限または検出経路が必要である。通信メタデータに到達できる認証情報は、通常のビジネスインテリジェンスのログインというより、規制対象インフラへの鍵のように扱われるべきである。

ここでのポイントは、外部から AT&T でどの特定の管理策が失敗したかを宣言することではない。ポイントは、それほど大規模な公的損失が可能だったのは、アクセスとエクスポートを許した管理策の連鎖の十分な部分が機能していた場合のみである、ということである。パスワードが盗まれただけで、国家規模の通信やり取りデータセットが削除されるべきではない。

ネットワークおよびエクスポート制御は第二の関門だった

ID 管理は第一の関門である。ネットワークとエクスポート制御は第二の関門である。Snowflake の現在のネットワークポリシードキュメンテーションは、ネットワークポリシーがない場合、ユーザーは任意のコンピュータやデバイスから接続でき、顧客は許可またはブロックする IP 範囲を定義し、アカウントまたはユーザーレベルで制御を適用できると述べている。機微な通信データを保存する顧客にとって、無制限の公衆向けログイン面はリスクの高い例外であり、通常の運用状態ではない。

ネットワーク制限は魔法ではない。攻撃者は承認された VPN を使用したり、請負業者のデバイスを侵害したり、正当な認証後にセッションをハイジャックしたりする可能性がある。しかし、独立した関門は重要である。認証情報が盗まれた場合でも、ネットワーク許可リストは未知のインフラからの使用をブロックできる。ネットワークの発信元が許可されていても、MFA はパスワードの使用をブロックできる。認証が成功しても、最小権限がテーブルを制限できる。テーブルが読み取り可能でも、エクスポート制御と異常検出が大規模なデータ移動を検出または中断できる。このインシデントは、レイヤー化された障害耐性の必要性を示している。

エクスポートは別途扱う価値がある。なぜなら、ウェアハウスはクエリに回答し結果を移動するために構築されているからだ。Snowflake の現在のLOGIN_HISTORYQUERY_HISTORYACCESS_HISTORYビューは、顧客が誰がログインし、何が実行され、どのロールとセッションが関与し、どのオブジェクトが触れられ、どれだけのデータが移動したかを調査するために使用できる証拠の種類を説明している。これらのログは、それらが保持され、レビューされ、必要に応じてセキュリティシステムにエクスポートされ、対応権限に接続されている場合にのみ価値がある。

AT&T の提出書類は、2024年4月14日から4月25日の間にファイルが流出したと述べている。この11日間の期間は、明らかな管理上の疑問を提起する。最初の異常なログインはいつ確認されたのか?クエリやデータ移動の動作がいつ異常になったのか?どの程度のボリューム閾値がアラートを発するべきだったのか?当該ワークスペースには、既にエクスポート用にステージングされたファイルとして全ての影響を受ける記録が保持されていたのか、それともファイルは攻撃者のアクティビティ中に作成されたのか?ファイルはエクスポート後の機微性を低減させる方法で暗号化またはトークン化されていたのか?セルサイト識別子が通話やり取り記録と共に保存されていたのは、特定のユースケースのために必要だったからか、それとも過去のデータが蓄積されていたからか?

公開記録はこれらの質問に答えていない。これは所見であり、推測ではない。信頼できるインシデント後の説明責任パッケージには、高レベルでのアクセス経路、それを検出した管理策、欠落または回避された管理策、関与した保持期間、露出したフィールド、および同等のエクスポートを防止するために現在位置付けられている対策が記述されているはずである。

保持方針が古い記録を再び最新のものにした

盗まれた記録は主に2022年と2023年1月1日分であった。それらは2024年4月に流出した。この時間差は分析を侵害対応からデータ保持へと移行させる。なぜ2022年の6か月間の記録が、2024年になってもエクスポート可能なクラウドワークスペースに存在していたのか?その正確なデータセットがアクセス可能な状態で維持される必要があった、どのようなビジネス上、規制上、運用上、訴訟上、課金上、ネットワーク上、または分析上の目的があったのか?集約、トークン化、パーティション分割、オフラインアーカイブ、または削除できなかったのか?

通信記録は通常の使い捨てログではない。事業者は、課金、紛争解決、不正、ローミング決済、ネットワーク運用、法執行機関のコンプライアンス、税務、規制報告、および顧客アクセスのために利用データを必要とする場合がある。AT&T 自身のサポートページでは、無線通信顧客に対してアカウント管理のために利用状況の確認方法や、通話・テキスト利用明細のダウンロード方法を案内している。これは、そのようなデータが存在する理由を示している。しかし、2024年4月14日時点で、全ての過去のやり取りファイルが影響を受けたワークスペースでクエリ可能である必要があったことを示すものではない。

保持は管理策である。なぜなら、時間がリスクを変えるからだ。2022年6月に課金のために運用上必要だった記録は、2024年4月までには必要性が低くなっているか、集約形式でのみ必要とされる可能性がある。ネットワークトラブルシューティングに必要だったセルサイト識別子は、広範なやり取りファイルに付随したままである必要はないかもしれない。毎日または毎月の集計値は、高権限のワークスペースに全ての関係性エッジを保存することなく、ビジネス目的を果たせるかもしれない。データセットは分析に有用である一方、最も生の形式で保持するには機微すぎる場合がある。

説明責任の問いは、「なぜ AT&T は通話記録を持っていたのか?」ではない。通信事業者は通話記録を持っていなければならない。問いは、なぜこの特定のデータセットが、この範囲で、これらのフィールドと共に、サードパーティのクラウド環境でアクセス可能であり、攻撃者が使用したアクセス経路によってエクスポート可能なままであったのか、ということだ。データ最小化は、しばしばプライバシー原則として議論される。ここでは、それは影響範囲を制限する管理策でもある。

地域性と主権は単なる地域選択以上のものである

Snowflake のリージョンドキュメントでは、Snowflake アカウントは選択されたリージョンでホストされ、データはユーザーによってコピー、移動、複製されない限りそのリージョンに留まると説明されている。さらに重要な制限が述べられている:リージョンはデータの保存場所とコンピュートリソースのプロビジョニング場所を決定するが、Snowflake へのユーザーアクセスを制限するものではない。この区別は AT&T のケースの中心である。

データの地域性は、法律、レイテンシ、ガバナンスに役立つ。しかし、それ自体で、正当な、または窃取された ID が他からログインし、データをクエリし、ファイルをダウンロードすることを阻止するわけではない。ストレージリージョンは変わらず、攻撃者が期待される環境の外に制御不能なコピーを作成する可能性がある。その意味で、ID およびエグレス制御を伴わない地域性は、配置ルールであり、主権の保証ではない。

通信メタデータにとって、主権には複数の側面がある。物理的地域性は、ウェアハウスがデータをどこに保存・処理するかに関係する。法的地域性は、どのプライバシー、通信、証券、法執行、侵害通知の義務が適用されるかに関係する。運用上の地域性は、誰が、どのネットワークから、どのような本人確認の下で、どのような目的でデータにアクセスできるかに関係する。証拠の地域性は、ログ、クエリ履歴、インシデントのアーティファクトが、露出を再構築するために利用可能なままであるかどうかに関係する。

AT&T の提出書類は、リージョン、クラウドプロバイダー、ワークスペースアーキテクチャ、エグレス経路の詳細を提供しなかった。インシデントの開示が通常はアーキテクチャ図を公開しないことを考えれば、あるレベルでは理解できる。しかし、その不在は、公衆がデータが単に静止時にローカライズされていたのか、それともライフサイクル全体を通じてガバナンスされていたのかを評価できないことを意味する。国内通信事業者のメタデータは、アクセス管理が失敗すれば、物理的なデータセンターの障害なしに、保護された運用環境から制御不能なコピーに変わりうる。

同じ点がベンダーにも当てはまる。FCC の2024年のAT&T ベンダークラウド侵害に関する和解は、2024年の Snowflake 関連の通話記録窃取ではなく、2023年1月の別のベンダークラウド環境侵害に関するものであった。それでもなお関連性がある。FCC は、AT&T がベンダーが顧客情報を適切に保護し、契約に従って返却または破棄することを確保できなかったと述べた。FCC のリリース PDFは、ベンダー管理とデータライフサイクルの義務を強調した。この規制姿勢は、顧客情報をベンダーまたはクラウド環境に移動しても、説明責任が通信事業者からなくならないことを明確にしている。

開示の遅延は公安上の側面を露呈した

AT&T は2024年7月12日に提出したが、これは司法省が二度にわたり公的開示を遅らせることができると判断した後だった。SEC のプロセスが存在するのは、一部のサイバーセキュリティ開示が法執行や国家安全保障の作業を妨害する可能性があるからだ。AT&T のケースでは、遅延は記録と捜査の機微性を示すシグナルである。

データは様々な形で法執行機関にとって重要になり得る。捜査官、機密情報提供者、証人、被害者、検察官、裁判官、弁護人、捜査対象者に関連する電話番号が含まれる可能性がある。連絡の連鎖を明らかにする可能性がある。犯罪者が特定の期間に誰が誰と話したかを推測する手助けになり得る。AT&T の顧客ではないが、AT&T もしくは MVNO の無線番号と通信した人物を露呈する可能性がある。AT&T の提出書類は、提出日時点で少なくとも一人が逮捕されており、AT&T が法執行機関と協力していると述べている。後の司法省の資料、United States v. Connor Riley Moucka and John Erin Binnsは、保護されたコンピュータネットワークへのハッキング、機密情報の窃取、漏洩の脅迫、データの販売を共謀したとされる容疑を挙げている。これらの容疑は立証されるまでは訴追状の内容に過ぎないが、Snowflake 顧客の恐喝行為を取り巻く法執行の枠組みを示している。

この遅延はまた、顧客通知の緊張を生み出した。もし捜査や公共の安全を損なう場合、顧客に直ちに通知することができなかった。しかし、通知が遅れることで、顧客は限定的な防護措置さえも取れない。通話記録の露出はパスワードリセットとは異なるため、通知の実際的な価値は認証情報の変更というよりも、認識、詐欺リスク、機微な関係リスクに関するものである。被害者は2022年からの電話での会話をローテーションすることはできない。しかし、恐喝、ハラスメント、個人情報の暴露(ドクシング)、標的型フィッシング、関係データの悪用には注意できる。

AT&T の詐欺とセキュリティに関する情報は、電話およびテキストの詐欺、スミッシング、報告に関する一般的な助言を提供している。そのガイダンスは有用だが、通話詳細の露出に対する完全な救済策ではない。顧客は、何が含まれていて何が含まれていなかったのか、自分の記録が影響を受けたのかどうか、通話またはテキストの相手の番号が露出したのかどうか、会社が何を提供できるのかを理解する必要がある。AT&T の提出書類は、影響を受けた現在および過去の顧客に通知を行うと述べているが、この種の公的通知はリレーショナルグラフを消し去ることはできない。

記録に含まれていたのは顧客だけではなかった

8-K の最も重要な詳細の一つは、記録に AT&T または MVNO の無線番号が通信した番号が含まれていたことである。それには AT&T の有線顧客や他社顧客も含まれていた。つまり、このデータセットには、AT&T の無線顧客ではない人々に関する情報が、彼らが AT&T 顧客と通信したという理由だけで含まれていた。

これが関係性プライバシーの問題である。「当社の顧客」を中心とした侵害通知モデルは、データ内で相手方として登場する人々を見逃す可能性がある。AT&T 加入者が医師、学校、組合事務所、情報源、別の通信事業者の家族、またはビジネス顧客に電話をかけた場合、相手方の番号が存在しうる。その相手方は、AT&T の顧客関係にないために、直接の通知を一切受け取らない可能性がある。しかし、データは彼らが AT&T 番号と通信したことを明らかにする。

同様の問題は法執行やジャーナリズムでも生じる。記者の情報源は AT&T の顧客ではないかもしれないが、AT&T 顧客が電話をかけたために情報源の番号が現れる可能性がある。刑事の秘密の連絡先は AT&T 加入者ではないかもしれないが、そのやり取りは刑事の電話記録を通じて見える可能性がある。小さなビジネスの顧客は、事業主への電話を通じて現れるかもしれない。プライバシー被害はアカウントの境界ではなく、エッジに沿って伝播する。

これはデータ最小化に影響を与えるべきである。関係性データセットは、単独の顧客プロファイルよりも強力な管理策に値する。なぜなら、データ保持者と直接のサービス関係に同意していない多くの人々に関する情報を運ぶからである。通信事業者はネットワークがルーティング、課金、運用しなければならないため、この情報を収集する。その必要性は、保持規律を高めこそすれ、低めるべきではない。

インシデント後に提供される証拠にも影響する。影響を受けた顧客は、自分のアカウントに結びついた侵害された電話番号を入手する方法を必要とするかもしれないが、それ自体が、慎重に認証されて届けられなければ、二次的なプライバシーリスクを生み出す。AT&T は透過性と、通知プロセスを通じて相手方を再び露出させるリスクとのバランスを取らなければならなかった。それは困難なことだ。それこそが、元のデータセットの広範なエクスポートが極めて危険だった理由でもある。

FCC の和解の文脈がベンダー説明責任の問題を先鋭化させた

FCC の2024年9月の AT&T との和解は、異なる侵害に関するものだったが、同じ説明責任の季節に到来し、明確なメッセージを伴っていた。すなわち、通信事業者は、ベンダーのクラウド環境を通じて取り扱われる顧客情報について責任を負い続ける。FCC は、2023年1月のベンダー侵害には、ベンダーとの関係が終了した後に保持されていたデータが関与しており、AT&T はベンダーが顧客情報を適切に保護し、返却または破棄することを確保できなかったと述べた。AT&T は1,300万ドルの支払いと、プライバシーおよびサイバーセキュリティの改善を実施することに同意した。

この和解を Snowflake 関連の通話記録窃取と混同すべきではない。データセット、タイムライン、事実は異なる。しかし、規制の文脈としては極めて関連性が高い。これは FCC が、ベンダーのクラウドデータ、契約管理策、保持、破棄、通信事業者の監督を、プライバシーとサイバーセキュリティの義務として見ていることを示している。これらはまさに2024年の通話記録窃取によって提起されたカテゴリーである。どのデータが、どこに、誰の管理下で、どれくらいの期間保持され、どのような保護の証拠があるのか。

クラウド依存は抜け穴ではない。通信事業者はストレージ、処理、分析、サポート機能をアウトソースできるが、顧客は通信事業者との関係にある。彼らはデータウェアハウスを選択しない。ワークスペースを設定しない。どのベンダーがどのフィールドを持っているか知らない。ネットワークポリシーや MFA を監査できない。アナリティクス環境から古い通話詳細記録を削除できない。したがって、説明責任はデータライフサイクルについては通信事業者に、販売するプラットフォーム管理策についてはクラウドプロバイダーに、依然として存在する。

最も強力な通信事業者のプログラムであれば、コアネットワークシステムの外部にある全ての機密性の高い通信データセットをマッピングし、目的、所有者、保持、地域、エクスポート経路を文書化し、強力な認証とネットワーク管理策を要求し、可能な限り生の識別子を分析テーブルから分離し、アクセスを記録・レビューし、インシデント対応をテストし、データセットまたはベンダー関係が終了したら削除を検証するであろう。FCC の和解は、これを単なる願望というよりも規制上の警告にしている。

Snowflake の後の強化は、共有責任がどうなりうるかを示す

より広範なキャンペーンの後、Snowflake はより強力な ID ベースラインに向けて動いた。その MFA ロールアウト資料は、単一要素パスワードサインインの非推奨化を説明している。認証ポリシーガイダンス、ネットワークポリシードキュメント、Trust Center のセキュリティ態勢チェックは、プロバイダーが繰り返される顧客管理策の失敗を製品化されたガードレールに変えようとしていることを示している。これは AT&T の2024年4月の窃取の事実を書き換えるものではない。共有責任が静的ではないことを示している。

クラウドプロバイダーは、顧客が ID とアクセスの設定に責任を負うとしばしば述べる。それは真実だが、不完全である。プロバイダーは、MFA がオプションかデフォルトか、パスワードのみのサービスユーザーが許可されるか、リスクの高いログインが検出されるか、ネットワークポリシーが展開しやすいか、セキュリティ態勢が見えるか、ログがフォレンジックに十分か、クロスカスタマーキャンペーンが迅速に認識されるかを決定する。顧客は、誰がアクセスできるか、どのロールが読み取りできるか、ポリシーが設定されているか、どのデータが保存されているか、アラートにどれだけ迅速に対応するかを決定する。

Snowflake キャンペーンは、データの集中と、ベースラインの ID 態勢とのミスマッチを露呈した。多くの企業が極めて価値の高いデータセットをクラウドウェアハウスに配置しながら、一部のアカウントは脆弱または古い認証のままにしていた。プロバイダーはアカウント間でそのパターンを見ることができた。各顧客は自分の環境しか見ることができなかった。この非対称性は、プロバイダーに警告し、促し、デフォルト設定し、最終的には強制する義務を与える。

AT&T にとって、共有責任は通信事業者の責任を軽減しない。それを明確にする。AT&T はデータ所有者であり通信事業者であった。どの過去の記録がワークスペースに入るか、どの ID がそれらに到達できるか、それらがどれだけの期間留まるか、どのような管理策が必要かを選択した。クラウドプロバイダーはプラットフォームとセキュリティ管理策を提供した。犯罪者はその連鎖を悪用した。説明責任は、最初の契約境界で止まるのではなく、その連鎖に従う。

顧客ができたこと、できなかったこと

通常の AT&T 顧客には、侵害を防ぐ実質的な能力はほとんどなかった。顧客は異なるウェアハウスを選択できず、AT&T のワークスペースに MFA を要求できず、古い通話記録を削除できず、AT&T のクラウドログを調査できなかった。通知後は、詐欺に注意し、予期せぬ電話やテキストに用心し、AT&T に情報を求めることができた。これらの行動は限定的である。なぜなら、露出したデータは過去の関係性ややり取りを記述していたからだ。

この非対称性は、インシデント後のサポートを形成すべきである。顧客は、メタデータを軽視しない平易な説明を必要としている。コンテンツは含まれていなかったが、関係性の記録は含まれていたことを知る必要がある。自分のアカウントが影響を受けたかどうか、どのカテゴリーが適用されるかを知る必要がある。実際の連絡先を参照する標的型フィッシングに注意する必要がある。機密性の高い職業には、よりカスタマイズされた助言が必要かもしれない。ジャーナリスト、法執行職員、ドメスティックバイオレンス支援者、医療従事者、公務員、通話パターンが顧客を明らかにし得る事業者などである。

AT&T のプライバシー通知は、同社の顧客情報の取り扱いと選択肢を広範に説明している(AT&T プライバシー通知)。プライバシー通知はインシデントの事後分析ではないが、情報の利用と保護に関する顧客の期待を設定するため重要である。本インシデントは、そうした期待が、ポリシー文言だけでなく、アナリティクスワークスペースのライフサイクル管理策によって支えられているかどうかを問うている。

顧客はまた、問題が封じ込められたという確固たる証拠を必要としている。AT&T は不正アクセスの経路を閉鎖し、提出日時点ではデータが公に利用可能であるとは考えていないと述べた。それは重要だが、封じ込めがどのように検証されたのか、コピーが回収または削除されたのか、身代金や恐喝の要求があったのか、現在どのような監視が続いているのか、長期的にどのような管理策が変更されたのかについての詳細は依然として公開されていない。一部の詳細は正当な理由により機密かもしれない。それでも、攻撃者を助けることなく、集計的かつアーキテクチャ上のコミットメントは公開可能である。

重要性は説明責任を解決しなかった

AT&T は8-K の中で、入手可能な情報に基づくと、このインシデントが AT&T の財務状況や経営成績に重要な影響を与えたことはなく、合理的に起こりそうにもないと投資家に伝えた。この証券法上の声明は重要だが、インシデントが軽微な結果だったという公共利益上の判断と混同されるべきではない。投資家にとっての重要性と顧客にとっての機微性は、関連性はあるが異なる問題である。

大規模な通信事業者にとって通信メタデータ窃取は財務的に管理可能であり、社会的には深刻でありうる。直接的なコストは、保険、訴訟戦略、顧客通知費用、法執行協力、是正予算を通じて抑えられるかもしれない。影響を受けたデータには、大量のアカウントリセットを必要とするパスワードが含まれていない可能性がある。会社は、収益、流動性、運営が重要な脅威にさらされていないと結論付けるかもしれない。そのいずれも、数か月間にわたるほぼ全ての無線顧客の関係性グラフが持つプライバシー上の重大さを変えるものではない。

この区別が重要なのは、インシデント報告がしばしば財務的重要性の文言を公の見出しとして使用するからである。証券提出書類は投資家向けに設計されている。顧客はそれらを読む。なぜなら、それらが入手可能な最も詳細な公式情報源であることが多いからだ。公式の説明が、予想される重要な財務的影響はないと強調するだけなら、顧客はその出来事が重大でなかったと推論するかもしれない。今回のケースでは、同じ提出書類がほぼ全ての無線顧客のやり取り記録と、司法省が承認した開示延期についても記述していた。それらの詳細は逆を指し示している。

したがって、説明責任の記録は二つの真実を同時に保持すべきである。AT&T は、知る限りでは重要な財務的影響を予想していないと合理的に投資家に伝えるかもしれない。規制当局、顧客、公共利益の観察者は、メタデータの規模と機微性ゆえに、合理的にこのインシデントを重大と扱いうる。成熟した開示であれば、両方の意味を明示するだろう:財務的に限定されていることは、社会的に軽微であることを意味しない。

また、重要性は管理策の疑問に答えない。侵害は、会社が大きいために財務的に重要でないことがあり得るが、それは管理策が十分だったからではない。運用の中断を回避しながらも、機密データを露出する可能性がある。即座に顧客が離れなくても、規制圧力を強める可能性がある。逆に、小規模な企業は、より機微性の低いデータセットから重大な財務的結果に直面するかもしれない。投資家のレンズは必要だが、完全な説明責任のレンズではない。

通信事業者にとって、この区別はガバナンスに組み込まれるべきである。取締役会や経営幹部は、投資家にとっての重要性だけでなく、クリティカルデータイベントも追跡すべきである。すなわち、CPNI に類する記録、通話詳細データ、位置関連フィールド、法執行上機微な記録、脆弱な人々の通信、国家的規模の関係性データセットが関与するインシデントである。これらのイベントは、損益計算書がそれらを吸収できる場合でも、取締役会の注意に値する。

同じ原則がクラウド分析のレビューを形作るべきである。データセットは、その窃取が財務的に管理可能であるというだけの理由で、より低い保護を受けるべきではない。保護は、機微性、規模、識別可能性、関係性の害、法的義務、および公共の信頼に基づくべきである。その基準によれば、AT&T の通話・テキストのやり取り記録は、予想される財務諸表への影響にかかわらず、社内で最高の保護階層に属していたはずである。

説明責任のテスト

AT&T インシデントは、六つの管理策に対して判断されるべきである。

第一に、最小化。機微な通信やり取り記録は、現在の、文書化された必要性がある場合にのみ、生のエクスポート可能な形式で存在すべきである。可能な場合、古いデータは集計値、トークン化された形式、または制限されたアーカイブへと移行させるべきである。

第二に、アクセス。生の通話・テキストやり取りデータに到達できるいかなる ID も、強力に認証され、狭くスコープされ、監視され、時間制限されるべきである。人間のパスワードのみのアクセスは容認できない。サービス認証情報はワークロード固有であり、ローテーションされるべきである。

第三に、エグレス。国家規模の通信記録のバルクエクスポートは、検出、抑制、承認、または迅速な封じ込めを必要とする高リスクの行動として扱われるべきである。クエリログだけでは、流出後に誰も行動を起こさなければ不十分である。

第四に、地域性。データの地域とクラウド配置は、ID、ネットワーク、エクスポート、証拠の管理策と一致させるべきである。窃取された認証情報がコピーを移動させることができるなら、データがどこにあるかでは主権は達成されない。

第五に、通知。公的開示は、法執行のニーズを保持しつつ、顧客にメタデータリスクに関する明確で、軽視しない情報を提供すべきである。「コンテンツなし」には「関係性データが露出した」を併記しなければならない。

第六に、ベンダーガバナンス。通信事業者は、サードパーティのクラウドおよびベンダー環境が、通信の機微性に比例した管理策の下で、顧客情報を保護、保持、返却、破棄していることを証明できるべきである。FCC のベンダークラウド和解の文脈は、それを生きた規制上の期待としている。

最終的な所見は率直である。AT&T はこのインシデントにおいて、通話内容や SSN の窃取を開示しなかった。同社が開示したのは、異なるが依然として深刻なもの、すなわち、数か月間にわたるほぼ全ての無線顧客の通話およびテキストのやり取りに関する大規模な関係性マップが、クラウドワークスペースから持ち出されたことであった。通信事業において、メタデータは排気ではない。それは繋がりの地図である。一度その地図がクラウドデータプラットフォームに集中されれば、なぜそれがそこにあるのか、誰がそれをクエリできるのか、どのように出力されるのか、どれほど長く存在するのか、そして地図が盗まれたときにどのような証拠が残るのかを決定する人々に、説明責任は帰属する。