要約
- 確認済み:2021年のインシデントでは、侵入者が通信機器への正規の接続を装い T-Mobile のラボに到達し、サーバーのパスワードを推測し、環境間を移動し、パスワードスプレー攻撃を実行し、データベースバックアップに到達した。その後のクラス和解では、影響を受けた人々の人口は7660万人とされたが、データ要素はサブセットごとに大きく異なっていた。
- 確認済み:FCC の統合記録は、2022年末から2023年初頭にかけてのさらに3件のインシデントを説明している。従業員の ID 侵害による MVNO 管理プラットフォームへの不正アクセス、フィッシングされた小売店の認証情報によるパンデミック期のリモート販売アプリケーションへのアクセス、およびヒューマンエラーによる許可設定の誤りで、約3700万の現行ポストペイドおよびプリペイドアカウントのアカウントデータを返す API が発生した。
- 評価:これらは同一のエクスプロイトの繰り返しではなかった。これらは、デバイストラスト、パスワード、従業員アクセス、リモートアクセスの例外、アプリケーション認可、顧客データの範囲にわたるアイデンティティガバナンスの問題を明らかにしている。米国内の物理的なストレージだけでは、これらの経路のいずれも防げなかっただろう。
- 説明責任:犯罪者は侵入と不正使用に責任を負う。T-Mobile は、環境、認証情報、API の権限、保持データセット、監視、例外ライフサイクル、顧客対応を管理していた。その後の3億5000万ドルのクラスファンド、1億5000万ドルのセキュリティ支出コミットメント、FCC の罰金、執行可能な管理プログラムは物質的な対応であるが、支出はインプットに過ぎない。永続的な是正には、アクセス、データ最小化、検出、ガバナンス管理が時間の経過とともに機能するという証拠が必要である。
重要な数字は一つの数字ではない
2021年の T-Mobile のデータ漏洩は、単一の明確なカウントを拒む。公表された情報は、異なる段階で異なる母集団、データフィールド、単位を説明していたためである。2021年8月20日、T-Mobile は、約780万の現行ポストペイド顧客アカウントで、氏名、生年月日、社会保障番号、運転免許証またはその他の身分証明情報が漏洩したと発表した。このグループには電話番号と端末識別子も後で追加された。さらに530万の現行ポストペイドアカウントでは、機密性の低い1つ以上のフィールドがアクセスされた。約4000万の元顧客または見込み顧客が、氏名、生年月日、社会保障番号、身分証明情報を含むファイルに含まれていた。その他のグループには、667,000の元アカウントと、約85万のアクティブなプリペイドアカウントで、氏名、電話番号、アカウント PIN が露出した。(T-Mobile 8月20日調査更新)
これらの数字を単純に合計して、一意の人数の確定カウントと呼ぶべきではない。アカウントは常に人と一致するとは限らない。一人の人物が複数の顧客状態に現れる可能性があり、最初の公開スナップショットは、調査官がさらに多くのファイルを特定するにつれて変化した。連邦通信委員会の後の同意命令では、クラス和解の目的で7660万人の影響を受けた消費者が使用された。これは和解について議論する上で最も有用な統合人口ではあるが、それでも7660万人が同じフィールドを失ったことを意味するわけではない。命令は、顧客固有ネットワーク情報(CPNI)が影響を受けたのはごく一部であり、はるかに多くの人口が ID および連絡先記録を露出したと述べている。(FCC 同意命令)
この区別は重要である。なぜなら、害はデータの組み合わせに従い、プレスリリースの規模には従わないからである。社会保障番号、生年月日、政府識別子、電話番号、端末識別子が盗まれた現行のポストペイド加入者は、氏名と住所だけが単独で表示された人物とは異なるリスクに直面する。PIN が露出したプリペイド加入者は、即座の変更を必要とするアカウント管理の問題に直面する。見込み顧客はもはやキャリアとアクティブな関係を持たず、リセットできない永続的な識別子を保持している可能性がある。元顧客は、キャリアがなぜまだその記録を保持しており、それがまだ必要であったのかを合理的に疑問に思うかもしれない。
カリフォルニア州司法長官は2022年3月、このデータ漏洩が5300万人に影響を与え、そのうち600万人以上がカリフォルニア州民であると説明した。その警告は、データの大部分が販売されているのが発見された後の消費者保護に焦点を当て、信用凍結と監視を促した。これは、後の7660万人の和解人口が虚偽である証拠ではない。これは、公的なカウントが日付、目的、定義に結びついていた証拠である。(カリフォルニア州司法長官消費者警告)
したがって、適切な説明責任は、見出しの合計ではなく、データマップから始まる。影響を受けるすべての母集団について、キャリアは、関係タイプ、記録システム、フィールド、機密性、保持の正当性、アクセス経路、一意の人数、アカウント数、通知経路、提供された是正措置を述べることができるべきである。そのマップがなければ、通知は一般的なものになり、管理テストはリスクを生み出した記録から切り離されてしまう。
2021年の出来事は、「顧客」という言葉が重要な義務を隠す可能性がある理由も明らかにした。漏洩した母集団には、現行、元、見込みの顧客が含まれていた。T-Mobile はそれらの多くから現在のサービス収入を得ていなかった。一部はアカウントを開設したことさえなかったかもしれない。しかし、同社は依然として害を引き起こす可能性のある身分資料を保有していた。責任は、アクティブな請求ステータスではなく、保管に付随していた。現在のアカウントのみを中心に保護対策を組織するデータガバナンスプログラムは、このイベントをこれほど大規模にしたまさにそのロングテールを見逃すことになる。
アクセス、発見、封じ込めのタイムライン
最も詳細な公開再構築は、このデータ漏洩から3年後、FCC が2021年、2022年、2023年のインシデントの調査を解決した際に到着した。この命令は交渉による和解であり、裁判の判決ではない。T-Mobile と FCC 執行局は、関連時点で実施されていたセキュリティプログラムとポリシーが該当する注意義務または規制の基準に違反したかどうかについて明示的に意見を異にした。その境界があっても、事実の説明は、T-Mobile が最初の数週間に開示できたものよりもはるかに具体的である。
2021年3月18日:T-Mobile の後の証券提出書類は、侵入者がこの日またはその頃にシステムの特定の領域に違法にアクセスしたと述べている。同社は、データの取得はその後、8月3日またはその頃に始まったと述べた。そのギャップは重要である。初期アクセス、横方向の探索、データ窃取は別々のフェーズであった。(T-Mobile 2021年第3四半期フォーム10-Q)
2021年8月より前の数か月間:FCC は、攻撃者が数か月にわたって偵察を行ったように見えると述べた。攻撃者は、通信機器を介して正規の接続を装うことにより、ラボ環境にアクセスした。そこから、攻撃者は特定のサーバーのパスワードを正常に推測し、ネットワーク環境間を移動し、別のラボに到達し、さらにスキャンし、パスワードスプレー攻撃を使用した。これらのステップにより、データベースバックアップファイルやその他の情報を含む環境へのアクセスが開かれた。
このシーケンスは、露出したルーターがデータ漏洩を引き起こしたというおなじみの省略形よりも強力な証拠である。これは一連の決定を特定する。機器は接続 ID を受け入れた。サーバーは推測されたパスワードを受け入れた。環境境界は移動を許可した。2番目のラボは、スキャンとパスワードスプレーを十分に長く許容した。バックアップデータは経路から到達可能のままであった。監視は、データ持ち出し前にシーケンスを停止しなかった。各ステップには異なる所有者と異なる可能な管理策があった。
2021年8月3日:T-Mobile の完成したフォレンジック説明では、顧客データへのアクセスと取得の開始をこの日またはその頃としている。FCC 命令によると、攻撃者の活動の最後の証拠は8月13日であった。
8月12~15日:T-Mobile は8月12日に潜在的な攻撃を認識し、調査を開始し、8月15日に攻撃を確認した。最初の公開アップデートでは、オンラインフォーラムで、悪意のある人物がシステムを侵害したという申し立てを知らされたと述べている。つまり、外部からの信号が発見のきっかけとなった。これは、T-Mobile に内部アラートがなかったことを証明するものではないが、公開記録は、データが販売される前に数か月にわたるアクセスを中断させた内部検出を示していない。
8月16~27日:T-Mobile は、範囲が変わるにつれて段階的な公開声明を発表した。最高経営責任者のマイク・シーヴァートは、同社が露出を防げなかったことを認め、Mandiant が調査を支援したと述べ、テスト環境へのアクセスとそれに続くブルートフォースやその他のサーバーへの移動について説明した。T-Mobile は2年間の身分保護を提供し、PIN とパスワードの変更を推奨し、露出したアクティブなプリペイド PIN をリセットし、アカウント乗っ取りと詐欺防止策を促進した。また、Mandiant および KPMG とセキュリティ管理を評価し、複数年にわたる変革を構築するための長期的な取り組みを発表した。(T-Mobile 最高経営責任者説明)
8月15日~10月8日:FCC は、T-Mobile がネットワークパスワードをローテーションし、ファイアウォールルールを追加し、機器を切断し、アクセスを遮断するためのその他の措置を講じたと述べている。この封じ込め期間の長さは、攻撃者が10月まで活動を続けた証拠として読まれるべきではない。命令は、活動の最後の証拠は8月13日であると述べている。代わりに、インシデントの終了には、データ持ち出しが停止したことを観察するだけでなく、経路を排除することも含まれることを示している。
2022年7月~2023年6月:T-Mobile は、請求、弁護士費用、管理のための3億5000万ドルの基金を提供し、2022年と2023年に累計1億5000万ドルの追加データセキュリティおよび関連技術支出を約束するクラス和解に合意した。この合意には、責任、不正行為、または責任の承認は含まれていなかった。地区裁判所は2023年6月に和解を承認したが、弁護士費用の控訴は継続した。(T-Mobile 2022年7月フォーム8-K)
第8巡回区控訴裁判所は後に費用裁定を破棄し、その問題を再検討のために差し戻した。和解クラスが推定7660万人に関するものであるという事実的前提や、T-Mobile の基礎となるセキュリティ責任の判断を覆すものではなかった。控訴意見は、消費者基金、弁護士費用、および別個のセキュリティ支出コミットメントを区別するため有用である。(第8巡回区控訴裁判所意見)
この年表は、長い潜伏期間、短い盗取期間、外部からの発見、そして訴訟、顧客サポート、複数年にわたるプログラムを通じて継続した対応を確立している。すべての内部アラート、正確な機器構成、侵害されたサーバーの名前、完全なトポロジーを確立するものではない。これらは依然として正当な証拠のギャップであり、噂からネットワーク図を埋める誘いではない。
4つのインシデント、4つの形式のアイデンティティ
FCC 命令は4つの調査を統合している。それらを1つの繰り返し発生するエクスプロイトとして扱うのは不正確である。それらを無関係な不運として扱うと、共通の管理プレーンを見逃すことになる。各インシデントは、人、デバイス、接続、またはアプリケーションが持つべきではなかった権限を持っているとシステムが判断することを伴っていた。
2021年のラボとバックアップ経路
最初のアイデンティティは、通信機器に提示された接続であった。攻撃者は正規の接続を装い、ラボに到達した。これは単なるユーザーパスワードのイベントではなかった。機器とネットワーク経路にもアイデンティティがある。デバイス証明書、キー、送信元属性、構成状態、期待される通信パターンはすべて、接続が受け入れられるかどうかに寄与する可能性がある。
次のアイデンティティはサーバーアカウントであった。パスワード推測とスプレーが成功し、その後、攻撃者は環境を横断した。パスワードは技術的に有効でありながら、運用上信頼できない可能性がある。まれに使用されるサーバーID が異常な経路から認証し、ネットワークを列挙し、バックアップデータに到達する場合、制御システムはコンテキストを評価する必要があり、一致する秘密で停止してはならない。
最後のアイデンティティは暗黙的であった。ラボまたは隣接環境の内部にいることは、移動を続けるのに十分な信頼を与えたように見える。NIST のゼロトラストアーキテクチャガイダンスは、その仮定を拒否する。信頼は物理的またはネットワーク上の位置のみから生じるべきではなく、ユーザー、資産、リソースに基づいてアクセスを評価すべきと述べている。この原則は、名前付きの商用ゼロトラスト製品がそれを防いだと言うことなく、イベントに直接マッピングされる。(NIST SP 800-207)
2022年末の MVNO プラットフォームインシデント
2022年末、脅威アクターは、モバイル仮想ネットワークオペレーターのリセラーが自社の顧客にサービスをプロビジョニングするために使用する T-Mobile の管理プラットフォームに不正アクセスした。プラットフォームには、それらの下流顧客の情報が含まれていた。FCC は、アクセスには複数の戦術が含まれていたようだと述べている。1人の T-Mobile 従業員の不正な SIM スワップ、別の従業員のフィッシング、および少なくとも1つの未知の起源の侵害。
このインシデントは、通常の SIM スワップのストーリーを逆転させる。キャリア従業員自身の回線が、キャリアの運用への経路の一部となった。従業員は単にパスワードを知っている人ではなかった。電話番号、デバイス、または関連チャネルは、アイデンティティプロセスを打ち負かすのに有用であったようだ。このイベントは、通信会社の従業員 ID 管理は、通信ベースの要素自体が攻撃される可能性があることを前提としなければならない理由を示している。
また、卸売関係全体の説明責任を複雑にする。プラットフォームは T-Mobile に属し、リセラーがそれを使用し、露出した記録はリセラーのエンドユーザーに関するものであった。影響を受けた MVNO の1つは、2023年1月10日に CPNI ポータルにインシデントを報告した。T-Mobile は2月6日に報告書を提出した。下流のプロバイダーは、自社の顧客を保護するために十分なテレメトリと通知権限を必要とする一方、プラットフォーム所有者はテナント間のアクセスを関連付ける必要がある。卸売契約によって、プラットフォームのアイデンティティ境界が消えるわけではない。
2023年初頭の販売アプリケーションインシデント
2023年初頭、脅威アクターは盗まれた T-Mobile アカウントの認証情報を使用して、最前線の販売アプリケーションにアクセスした。COVID-19 パンデミック中に運用を維持するためにリモートアクセスが有効化されていた。アクターは数十人の小売従業員の認証情報を入手し、T-Mobile は標的型フィッシングによるものと考えており、限られた量の CPNI を含む顧客データを閲覧した。
T-Mobile は、顧客からの回線移行(ポートアウト)の苦情が増加した後、2月下旬に気づいた。調査により、3月30日頃に従業員の認証情報侵害を特定し、4月11日に CPNI 報告書を提出した。検出経路は重要である。顧客は、企業が認証情報キャンペーンを完全に再構築する前に、回線レベルで整合性または管理の症状を経験した。
リモートアクセスは、有効化された時点では必ずしも誤りではなかった。公衆衛生上の緊急事態において、最前線の販売およびサービス運用を維持することは、正当な継続性の決定である可能性がある。ガバナンスの失敗は、例外に所有者、定義された範囲、強力な認証、行動監視、最小権限、および有効期限または再承認日があったかどうかをテストすることである。「一時的」に技術的な終了状態がない場合、緊急時対策は通常の攻撃対象領域になる。
3700万アカウントの API インシデント
2023年1月5日、T-Mobile は単一のアプリケーションプログラミングインターフェースを介した不正な取得を特定した。SEC 提出書類によると、同社は1日以内に発信元を追跡し、活動を停止した。アクターは2022年11月25日ごろにデータの取得を開始していた。この API は、氏名、請求先住所、メールアドレス、電話番号、生年月日、T-Mobile アカウント番号、回線数、プラン機能を返す可能性があった。T-Mobile は、支払いカードデータ、社会保障番号や税識別子、運転免許証やその他の政府発行の ID、パスワード、PIN、金融口座情報は返さなかったと述べた。予備的な人口は約3700万の現行ポストペイドおよびプリペイドアカウントであり、必ずしもすべてのフィールドを持つ3700万の一意の個人ではない。(T-Mobile 2023年1月フォーム8-K)
FCC は後に、欠落していた因果関係の詳細を追加した。ヒューマンエラーにより権限設定が誤って構成され、アクターがクエリを送信してアカウントデータを取得できるようになった。攻撃者がシステムやネットワークに侵入したり侵害したりしなかったという T-Mobile の声明は、したがって、大規模な不正開示と両立する。API は、構成された機能を実行した。認可の境界が間違っていた。
これはワークロード ID とアプリケーション認可であり、従来の従業員ログインではない。安全な API は、発信者を識別し、各データオブジェクトとフィールドを認可し、クエリ量を制約し、列挙を検出し、1つの経路で到達可能なデータを制限する必要がある。NIST のクラウドネイティブゼロトラストモデルは、ユーザー、サービス、アプリケーションの ID と、アプリケーションが実行される場所に関係なく詳細なポリシー実施を重視している。これは、攻撃者が最初に対話型シェルを取得しなくても API に到達できる場合に特に関連する。(NIST SP 800-207A)
したがって、4つのインシデントは、手法よりも深いレベルでつながっている。2021年には、環境が接続、サーバーパスワード、ネットワーク位置を過信した。MVNO イベントでは、従業員の通信経路とフィッシング経路が突破された。販売イベントでは、フィッシングされた従業員 ID が緊急時から維持されているリモートアプリケーションに到達した。API イベントでは、アプリケーションの権限が発信者にあまりにも多くのデータを与えた。アイデンティティガバナンスとは、これらすべてのアイデンティティを認識し、狭い権限を割り当て、使用を監視し、コンテキストが変化したときに信頼を撤回する規律である。
バックアップ、元顧客、データインベントリの問題
2021年の攻撃者はデータベースバックアップファイルに到達した。この事実は、通常受けるよりも多くの注意を払う価値がある。バックアップは継続性のために作成されるが、ライブアプリケーションに適用される管理の外部で広範な履歴データセットを保持する場合、機密性を弱める可能性がある。本番インターフェースは、一度に1人の顧客を表示したり、フィールドをマスクしたり、ロール固有のクエリを強制したりする場合がある。バックアップは、これらの区別を、回復とデータ持ち出しの両方に有用な集中オブジェクトに崩壊させる可能性がある。
リカバリコピーを不活性なストレージとして扱ってはならない。独自のインベントリ、所有者、暗号化キー、アクセスポリシー、ネットワーク分離、保持スケジュール、復元テスト、アクセステレメトリが必要である。ラボや非本番経路がバックアップデータに到達できる場合、本番/非本番の境界は機密性にとって意味がない。FCC の後の命令は、本番環境と非本番環境の合理的な分離と、対象情報が非本番環境で長期にわたって使用される場合の補償管理を要求することにより、この問題に直接対処している。
元顧客および見込み顧客データの存在は、別の疑問を提起する。なぜ各記録がまだ存在していたのか?一部の保持は正当であり得る。キャリアは、税務、不正、信用、紛争、訴訟、規制、またはアカウント履歴の目的で記録を必要とする場合がある。見込み顧客データは、申し込みや放棄された注文をサポートする場合がある。データ漏洩は、すべての履歴記録が不適切に保持されていたことを証明するものではない。
しかし、「理由があるかもしれない」はガバナンスではない。防御可能なプログラムは、各データクラスを目的、法的根拠、保持期間、システム所有者、削除または匿名化イベントにリンクする。プライマリデータベースだけでなく、コピーも特定できる。削除された本番レコードが、承認された期間を超えてテスト抽出、分析テーブル、または回復可能なバックアップに無期限に存続しないことを証明できる。
FCC 和解は、T-Mobile が対象情報の収集を正当な事業または法的目的に合理的に必要なものに制限し、目的が終了した場合の破棄または匿名化のポリシーを維持し、データ削減プロセスを運用し、対象情報を含むデータベースの所有者のための証明プロセスを作成することを要求している。また、最小化、保持、廃棄をサポートするために設計された消費者データインベントリを個別に要求している。これらの義務は、セキュリティを境界の強度だけでなく、記録のライフサイクルに接続するため、明らかにしている。
API インシデントは、ライブデータの方向から同じ問題を示している。T-Mobile は、API が最も機密性の高い金融および政府識別子を露出しなかったことを強調した。これは重要な制限管理であった。しかし、返されたフィールドは、豊富なアカウントプロファイルに組み合わせることができた。ID、連絡先チャネル、生年月日、アカウント番号、回線数、プラン機能。約3700万アカウントの人口では、「限定された」フィールドセットでも、大規模な不正、フィッシング、ソーシャルエンジニアリングの対象領域が生まれる。
データ最小化は2つの次元で機能する。行の最小化は、どの人および履歴関係を保持すべきかを尋ねる。列の最小化は、アプリケーション、ユーザー、またはワークフローにどのフィールドが必要かを尋ねる。2021年のバックアップは多くの行を利用可能にした。2023年の API は、定義された列セットを巨大な規模で利用可能にした。真剣なインベントリは、両方の質問に答え、3つ目の質問を追加する必要がある。管理策が介入するまでに、それらの行と列をどのクエリレートで取得できるか?
T-Mobile の現在のプライバシー通知は、同社は必要な期間のみデータを保持するよう努めており、処理のほとんどは米国内で行われ、データは関連会社またはサービスプロバイダーが事業を行う他の国に転送または処理される可能性もあると述べている。この現在の通知は、公的なコミットメントを理解するために有用であるが、2021年のシステムのマップとして、または特定の保持期間の遵守の証明として逆投影されるべきではない。(T-Mobile プライバシー通知)
証拠基準は運用可能でなければならない。データベース所有者の証明は、ディスカバリースキャン、バックアップカタログ、API スキーマ、クラウドストア、データ損失防止の発見、削除ログと調整された場合に強力になる。所有者がフィールドが保持されなくなったと述べたが、自動ディスカバリーがコピーを発見した場合、不一致は是正項目になる。所有者が長期間を承認した場合、承認は目的、法的根拠、補償管理を特定すべきである。調整なしの証明は、データインベントリを、環境が矛盾する可能性のある別のポリシー文書に変えるリスクがある。
ローカルストレージはデータ主権ではない
「データ主権」というフレーズは、サーバーを国境内に配置することが支配を解決するかのように使用されることが多い。T-Mobile の記録は、なぜそれが不十分であるかを示している。2021年の攻撃者は、受け入れ可能な接続とアカウントシグナルを提示することによりデータに到達できた。2022年のプラットフォーム攻撃者は、従業員 ID 経路を突破した。2023年の API は、権限が誤っていたためデータを返した。これらの失敗はいずれも、攻撃者がサーバーの隣に立つか、ハードウェアを国境を越えて移動することに依存していない。
3つの概念を分離する必要がある。
データレジデンシー(保存場所)は、データが物理的に保存または処理される場所である。国内保管のコミットメントは、一部の外国の法制度やサプライチェーン経路への露出を減らすことができる。また、場所の要件を伴う公共契約をサポートすることもできる。しかし、発信者を認証したり、ラボをセグメント化したり、API を制限したり、廃止された記録を削除したりはしない。
データ主権は、データを統治する権限に関するものである。法律、規制当局、契約、所有権、法的要求、執行可能な権利。T-Mobile は、通信法、FCC 規則、証券開示、州のデータ漏洩および消費者保護法、裁判所のプロセスに従う米国のキャリアである。2021年のデータ漏洩は、連邦調査、州の警告、私人訴訟、そして後にワシントン州司法長官の訴訟を生み出した。これらの重複するフォーラムは、データ主権の実際を示している。支配は、単にラックの場所ではなく、キャリア、消費者、サービス、および管轄権に付随する法的権限を通じて配分される。
論理的局所性は、権限が行使される場所を説明する。API ポリシーエンジンは、データアクセス決定をリモートで行うことができる。特権従業員セッションは、別の州から記録を管理できる。サービス ID は、クエリが承認されるまでデータを物理的に移動することなく、内部環境境界を越えることができる。現代のキャリアシステムでは、信頼が付与される場所は、バイトが休む場所よりも重要であり得る。
NIST のゼロトラストガイダンスは、この点を直接指摘している。物理的またはネットワーク上の位置は、暗黙の信頼を生み出すべきではない。FCC 命令は、この原則を T-Mobile に対する具体的な義務に変換する。セグメンテーション、開かれたファイアウォールポートの文書化、セグメンテーション例外のレビュー、本番/非本番の分離、フィッシング耐性のある多要素認証(実行可能な場合)、アカウント管理、リアルタイム監視、重要資産インベントリ、消費者データインベントリを要求している。重要資産インベントリ内の「場所」には、T-Mobile ネットワーク内の場所が含まれる。これは、地理的な概念と同じくらい、管理プレーンの概念である。
命令は、包括的な国内専用ストレージルールを課していない。独立した評価者に米国市民であることを要求し、プログラムを米国の規制当局の下に置くが、複数の条項で技術的実現可能性、合理性、補償管理の資格も認めている。適切な結論は、FCC が最も強い地理的意味でのデータ主権を義務付けたわけではないということである。対象情報に誰が到達できるか、重要資産がネットワーク内のどこにあるか、データがなぜ残っているか、コンプライアンスがどのように評価されるかについての証拠を義務付けたのである。
州の行動は、場所のみのモデルをさらに複雑にする。カリフォルニア州の警告は、記録が侵害された居住者に焦点を当てた。2025年1月、ワシントン州司法長官は、2021年の出来事に関して T-Mobile を訴え、200万人以上のワシントン州民が影響を受け、同社が管理上の弱点を知っていたこと、弱い認証情報と監視が寄与したこと、通知が不十分であったことを主張した。これらは係争中の訴訟における申し立てであり、確定した事実ではない。T-Mobile の後の年次報告書は、調査と手続きを説明し続け、クラス和解は承認を含まないと述べた。(ワシントン州司法長官訴訟発表)
したがって、キャリアサービスを購入する公共機関にとって、場所の要件は補完的な質問を必要とする。従業員およびアカウント管理者の ID を保持するシステムはどれか?海外の関連会社やサービスプロバイダーがそれらを処理できるか?それらのプロセッサにはどの法律が適用されるか?政府アカウントは消費者サポートツールからセグメント化されているか?ログはどこに保持されるか?ポートアウトや SIM 変更を承認できるのは誰か?機関はインシデント後に証拠を入手できるか?「データは米国内に残る」という条項は、その管理セットの1つの層としてのみ意味を持つ。
停止のない継続性の問題
2021~2023年のインシデントが、全国的な T-Mobile ネットワークの停止を引き起こしたり、911ルーティングを中断したり、一般的な結果として通話またはテキストの内容を露出したりしたという公開証拠はない。API インシデントの提出書類は、限定されたアカウントデータセットを明確に説明しており、FCC の2021年の説明では、限られた量の CPNI のみが流出したと述べている。公共部門の継続性分析は、この否定的な発見から始めるべきである。機密性の喪失は、自動的にサービスの利用不能ではない。
それでも、これらのインシデントは継続性にとって重要である。モバイルアカウントは運用上の ID だからである。電話番号、サービス関係、リカバリチャネル、そして多くの組織にとって認証または通知ワークフローを制御する。販売アプリケーションのデータ漏洩は、ポートアウトの苦情の増加を通じて可視化された。不正なポートが成功すると、正当なユーザーから番号が移され、着信サービスが中断され、メッセージやリカバリコードがリダイレクトされる可能性がある。1回線の規模では、ID の整合性と可用性が一緒に失敗する可能性がある。
証拠は、ファーストレスポンダー、緊急指令員、または政府職員がそのインシデントで回線を失ったことを確立していない。ポイントはより狭い。メカニズムが回線管理に影響を与え、キャリアは顧客の継続性の症状を通じて部分的にキャンペーンを検出した。公共機関は、全国的な無線停止を待ってから、キャリアのアカウント管理を継続性の依存関係として扱うべきではない。
CISA は、無線ネットワークを含む通信システムを、緊急対応、公衆警報、911、公益事業調整、交通、金融、その他のインフラにとって重要であると説明している。同じ依存関係ページは、これらのシステムが地理的に広く分布しており、ほとんどが民間事業者によって提供されていることを強調している。これが、インシデントが小売店やラボシステムで始まったとしても、キャリアの ID 管理が公共の結果をもたらす構造的な理由である。(CISA 通信システム依存プライマー)
キャリアの記録はまた、公的権限とのインターフェースに位置している。T-Mobile の2022年透明性報告書は、法的要請、緊急要請、および異なる形式の顧客情報に適用する基準を説明している。報告書は、これらの法執行または緊急データセットがこれらのデータ漏洩で露出したことを示しておらず、露出したと示唆するために使用されるべきではない。しかし、キャリアが保持する ID、アカウント、ネットワーク記録が、時間に敏感な公共機能をサポートし、不正な変更や開示がマーケティングプライバシーを超えた結果をもたらす可能性がある理由を示している。(T-Mobile 2022年透明性報告書)
公共機関の継続性計画は、少なくとも4つのキャリア障害モードを区別すべきである。無線アクセスまたはコアネットワークの停止は、広範囲に接続性に影響を与える。アカウント乗っ取りは、回線の管理に影響を与える。顧客データの漏洩は機密性に影響を与え、攻撃者がユーザーをなりすます能力を向上させる可能性がある。サポートまたはプロビジョニングプラットフォームの侵害は、通話が正常に継続している間でも、管理上の変更に影響を与える可能性がある。各モードには異なるフォールバックが必要である。
重要な回線については、公共機関は、運用上正当化される場合に複数のキャリアを維持し、ポートアウト保護を登録し、SMS に依存しないフィッシング耐性のある認証を使用し、アカウント変更を要求できる人を管理し、確認済みのキャリアエスカレーション連絡先を保持し、回線インベントリを調整し、緊急交換をテストすることにより、依存関係を減らすことができる。キャリアポータルを唯一のコピーにせずに、電話番号からロールへの内部マッピングを保持すべきである。また、調査中に番号が転送されたりキャリアアカウントがロックされたりした場合の通信方法を計画すべきである。
継続性の取引のキャリア側も同様に具体的である。高リスクのアカウント変更には、強力でコンテキストを認識した検証が必要である。従業員ツールは、必要最小限のデータと権限を明らかにすべきである。リモート小売アクセスは期限切れになるか、再承認されるべきである。ポートアウトの異常は、従業員の認証情報、店舗、顧客の苦情、宛先キャリアを関連付けるのに十分迅速にセキュリティ監視にフィードされるべきである。顧客には、証拠が保存されている間に疑わしい変更を凍結する経路が必要である。
このため、公共部門の継続性は、インシデントを停止に拡大することなく、データ漏洩分析に属する。全国的なキャリアがサービスを維持する能力は、サービスを管理する ID の整合性に部分的に依存する。2023年の販売イベントは、侵害された従業員アクセスと顧客の回線管理苦情との間の文書化された橋渡しを提供する。その橋渡しが関連するシグナルである。
是正措置は約束から特定の管理へと移行した
T-Mobile の最初の対応には3つの層があった。アクセスと出口の経路を閉鎖し、認証情報をローテーションし、ファイアウォールルールを変更し、機器を切断した。ID 監視、PIN リセット、詐欺防止策、アカウント乗っ取りツールを含む消費者保護を提供した。Mandiant と KPMG を調査、戦略計画、ポリシーレビュー、パフォーマンス測定のために雇用した。
これらは信頼できる対応カテゴリーであったが、最初の公開説明では、管理ベースライン、完了日、または独立したテスト結果は提供されなかった。パートナーシップの発表は、専門知識が関与したことを示している。どの資産がインベントリされたか、いくつのパスワード経路が排除されたか、または非本番データが削減されたかは示していない。
クラス和解は資金と時間枠を追加した。T-Mobile は、2022年と2023年に累計1億5000万ドルの追加セキュリティおよび技術支出(3億5000万ドルの和解基金とは別)を約束した。2022年の年次報告書は、そのコミットメントを超えて実質的な追加投資を意図しており、提案された和解および別個の消費者和解に関連して約4億ドルの税引前費用を計上し、保険回収で一部相殺されたと述べた。(T-Mobile 2022年フォーム10-K)
後のインシデントは、1億5000万ドルのプログラム全体が失敗したことを証明するものではない。MVNO と API の活動は、プログラムの進行中である2022年末に開始され、キャリア環境の変革が即座に完了することは合理的に期待できない。API の取得は検出から1日以内に停止され、これは意味のある対応結果である。同時に、投資期間中の大規模な API 認可エラーと従業員 ID 侵害は、支出が成果指標になり得ない理由を示している。ドルはツール、コンサルタント、スタッフを購入するかもしれない。権限、データ範囲、または緊急アクセスが正しいことを証明するものではない。
2023年の年次報告書までに、T-Mobile は、企業リスクと統合されたサイバーリスク管理、NIST サイバーセキュリティフレームワークの使用、定期的な取締役会および委員会への報告、従業員トレーニング、外部専門家、第三者リスク管理を公開説明した。また、2021年と2023年のインシデントと継続的なコストの可能性についても説明した。これらの開示はガバナンス記録を作成するが、それらは独立した管理意見ではなく、企業の説明のままである。(T-Mobile 2023年フォーム10-K)
2024年9月に発効した FCC 和解は、プログラムが何をすべきかを指定したため、記録の質を変えた。T-Mobile は、1575万ドルの民事罰金を支払い、さらに2年間で1575万ドルの追加サイバーセキュリティ支出を行うことに同意した。金額よりも重要なのは、命令が以下のことを要求している点である。
- 権限、リソース、最高経営責任者または指名者および取締役会への定期的な直接報告を伴う上級セキュリティリーダー。
- 500人以上の消費者に影響を与える対象インシデントの確認後48時間以内の取締役会通知。
- 少なくとも年1回見直される文書化された情報セキュリティプログラム。
- 会社発行のエンドポイント、ネットワークセグメンテーション、ポート文書化、例外レビュー、本番/非本番分離のためのハイブリッドゼロトラストフレームワーク。
- 対象情報を含むシステムへのアクセスに対するフィッシング耐性のある多要素認証(実行可能な場合)、ならびにパスワード、特権アクセス、デフォルト認証情報の管理策。
- リアルタイムのログ記録と監視、アラートトリアージ、年次チューニングレビュー、および少なくとも12か月分の不審活動アラートログ。
- 収集制限、保持および廃棄ポリシー、データ削減プロセス、データベース所有者の証明。
- 対象第三者、重要資産、消費者データのインベントリ。
- 文書化されたリスク受容、パッチおよび脆弱性管理、10,000人以上の消費者に影響を与えるインシデントのフォレンジック報告書、セキュリティの不実表示の制限。
- FCC に報告書を提供する2つの独立した第三者評価。
FCC は、この和解をモバイル業界のモデルと呼び、取締役会の可視性、ゼロトラスト、セグメンテーション、ID およびアクセス管理、データ最小化を強調した。この特徴付けは規制当局の見解であり、合意署名時にすべての義務がすでに完了していたという証明ではない。(FCC 和解発表)
2026年7月10日現在、一般市民は命令、そのスケジュール、および T-Mobile の継続的な年次報告書によるガバナンスの説明を検証できる。T-Mobile の2025年年次報告書は、2021年と2023年の出来事から多額の費用が発生し、2024年の合意を通じて1件の FCC 調査を解決し、他の政府の調査または手続きに直面し続けていると述べている。取締役会の監視、定期的な報告、四半期ごとの企業リスク評価、第三者リスク管理、より広範な複数年にわたるセキュリティ戦略を説明している。(T-Mobile 2025年フォーム10-K)
レビューした記録から一般市民が検証できないことも同様に重要である。命令は、独立した評価報告書は法律で許可される範囲で機密として扱われると述べている。セグメンテーションのカバレッジ、MFA の例外、データ削除の結果、API 認可テスト、またはアラートパフォーマンスメトリクスの公開は要求していない。これらの公開成果物がないことは、不遵守の証拠ではない。外部保証が制限されたままであることを意味する。FCC は証拠を受け取ることができるが、消費者、顧客、研究者は一般に検査できない。
プログラムはまた、発効日から3年後の2027年に期限切れとなる。命令がアクティブであるためにのみ存在する管理は、永続的なガバナンスではない。T-Mobile の取締役会と経営陣は、規制監督が終了した後も、インベントリ、リスク受容、テスト、報告が通常の運用規律として残っていることを示せるべきである。
FCC 命令が根本原因について述べていること
同意命令は時々逆方向に読まれる。和解が管理を要求する場合、観察者は規制当局がすべての基礎となるイベントで管理が欠如していたことを証明したと想定する。それは強すぎる。FCC と T-Mobile は注意義務の基準について争い、多くの義務は将来を見据えたものである。命令は、リストされたすべての保護手段が以前に欠如していたか、指定された正確な形式で法的に要求されていたという承認なしに、調査リスクを解決する。
それでも、救済の構造は有益である。規制当局は、「サイバーセキュリティを改善する」という一般的な約束で妥協しなかった。観測された経路に密接に対応する管理を要求した。
セグメンテーション、本番/非本番の分離、ポートガバナンスは、2021年の通信機器からラボを経由してデータを保持する環境への移動に対応する。パスワード管理、デフォルト認証情報手順、フィッシング耐性 MFA、特権アクセス慣行は、推測されたパスワード、スプレー、従業員フィッシングに対応する。監視、アラート保持、チューニングは、発見前の長い間隔と不審な活動を関連付ける必要性に対応する。データ最小化、所有者証明、インベントリは、バックアップの集中と履歴顧客記録の存在に対応する。第三者および MVNO の監督は、共有プラットフォームの露出に対応する。消費者データおよび重要資産のインベントリは、何が到達可能でどこにあったかという繰り返し発生する質問に対応する。
命令の API 関連性はあまり明示的ではないが、依然として存在する。対象情報のインベントリは、それ自体では過剰な API 取得を止められない。情報セキュリティ、リスク評価、アクセス管理、監視、最小化の条項は、フィールドレベルの認可と列挙検出の基礎を作成するが、信頼できる実装には API 固有のテストが必要である。外部から到達可能またはパートナー向けのすべての API は、名前付き所有者、認証されたワークロード ID、目的にバインドされたスコープ、オブジェクトおよびフィールドレベルの認可、レートおよびボリューム制限、スキーマインベントリ、ネガティブテスト、シーケンシャル抽出のアラートを持つべきである。
同様に、フィッシング耐性のある MFA は必要だが十分ではない。MVNO イベントには従業員の SIM スワップが含まれており、電話チャネルの所有権が特権キャリアアクセスの高保証要素として扱われるべきではない理由を示している。販売アプリケーションには、数十の従業員認証情報とポートアウト効果が含まれていた。強力な認証は、管理されたデバイス状態、最小権限、短いセッション、ありえない移動と行動シグナル、機密変更のためのステップアップ検証、アプリケーション間の迅速な失効と組み合わせるべきである。
命令は、管理が技術的に実行不可能または不当に負担が大きい場合、目的を満たす代替案が提供されることを条件に例外を認めている。これは、大規模で混合世代の通信環境にとって実用的である。また、ガバナンスリスクも生み出す。例外は、所有者、有効期限、リスク評価、補償証拠、経営陣の可視性を欠く場合、シャドーアーキテクチャになる可能性がある。セグメンテーション例外を見直し、重要なリスク受容を文書化する要件は、名目上のゼロトラスト要件と同じくらい重要である。
公開説明責任のテストは、T-Mobile が「ゼロトラストを持っている」と言えるかどうかではない。ゼロトラストはアーキテクチャの方向性であり、二値の証明書ではない。テストは、あるラボ、アプリケーション、または API に到達する ID がそのリソースの最小権限のみを受け取るかどうか、新しいリクエストが現在の ID、デバイス、行動証拠を使用して評価されるかどうか、横方向の移動が観察可能であるかどうか、組織が事後にアクセス決定と所有者を生成できるかどうかである。
FCC は、別の2023年の命令でキャリアのデータ漏洩報告要件を近代化し、保護範囲を CPNI から個人識別情報に拡大し、更新されたトリガーに基づいて委員会、法執行機関、影響を受ける顧客への通知を要求した。これらの規則は2024年に発効し、2021年のイベントの報告基準として遡及的に扱われるべきではない。しかし、キャリアが保持する ID データを、二次的な消費者データベースではなく、中核的な通信プライバシー義務の一部として扱う規制のシフトを示している。(FCC データ漏洩報告命令)
エビデンスに基づく管理スコアカード
是正プログラムは、繰り返し可能なテストに答えることができるときに信頼できるものになる。以下のスコアカードは、T-Mobile の機密の現在の構成に関する主張ではない。存在する証拠と、非公開または未知のままの証拠を区別する方法である。
| 管理の質問 | 公開証拠 | 存在すべきより強力な証明 |
|---|---|---|
| ラボ ID が本番データやバックアップデータに到達できるか? | FCC はセグメンテーション、本番/非本番の分離、補償管理を要求。 | 自動経路分析、ブロックされたルートのテスト、例外数、バックアップアクセスレビュー、レッドチームの証拠。 |
| 推測、デフォルト、またはスプレーされたパスワードが有用な経路を開くことができるか? | 命令はアカウント管理、デフォルト認証情報手順、実行可能な場合のフィッシング耐性 MFA、安全な管理パスワード処理を要求。 | 資産クラス別のカバレッジ、例外の経過時間、パスワードスプレーシミュレーション、特権保管庫テレメトリ。 |
| 侵害された従業員の電話やセッションが機密作業を許可できるか? | MVNO および販売インシデントがリスクを文書化。命令はより強力な認証とアカウント管理を要求。 | デバイス結合認証、セッションリスクポリシー、ステップアップテスト、失効時間、SIM スワップ耐性のあるリカバリ。 |
| 1つの API が大規模な顧客人口を列挙できるか? | API インシデントは検出後に停止。命令は監視、リスク管理、データ最小化を要求。 | オブジェクトおよびフィールド認可テスト、抽出レートしきい値、発信者スコープ、合成列挙演習、スキーマ所有権。 |
| T-Mobile は顧客データとそのコピーがどこにあるか把握しているか? | 命令は消費者データ、重要資産、第三者インベントリを要求。 | ディスカバリー調整、孤立データメトリクス、コピー系列、インベントリ不一致の署名された是正。 |
| 履歴データは目的が終了したときに削除されるか? | 命令は保持スケジュール、削減プロセス、データベース所有者証明を要求。 | フィールド固有の保持ルール、削除ログ、バックアップ期限、法的保留分離、サンプリングされた独立テスト。 |
| リモートアクセスの例外は廃止されたか? | 販売インシデントはパンデミック時代のリモート経路を特定。命令はリスク評価と例外レビューを要求。 | 目的、所有者、承認、有効期限、アクセステレメトリ、四半期ごとの閉鎖証拠を含む例外登録。 |
| 不審な動きは販売前または顧客苦情前に検出されるか? | 命令はリアルタイム監視、トリアージ、アラート保持、年次チューニングレビューを要求。 | 攻撃段階別の平均検出時間、見逃しアラートレビュー、環境間相関、外部観測信号調整。 |
| 取締役会は重要な管理債務を認識できるか? | 命令は定期的な報告と迅速な確認済みインシデントエスカレーションを要求。年次報告書は取締役会プロセスを説明。 | リスク受容の経過時間、管理カバレッジ、例外集中、ニアミス、是正検証が一貫して報告される。 |
| 部外者は是正措置を検証できるか? | FCC は要請に応じて機密の第三者評価とフォレンジック報告書を受け取る。 | 公開集計メトリクス、独立保証範囲、例外と閉鎖の要約(悪用可能な詳細を露出しないもの)。 |
このフレームワークは、2つの一般的なエラーを回避する。1つ目は、新しいリスクを生み出す公開ネットワーク図や検出ルールを要求することである。説明責任は秘密の公開を必要としない。集計されたカバレッジ、独立した範囲、例外の経過時間、確認された閉鎖は、攻撃者に経路マップを与えることなく開示できる。
2つ目のエラーは、金額やフレームワーク名を証拠として受け入れることである。1億5000万ドルのクラスコミットメントと1575万ドルの FCC 投資は重要だが、管理は高価で誤って構成される可能性がある。逆に、狭い権限変更は、ほとんどコストをかけずに大規模な抽出を防ぐ可能性がある。成果指標は攻撃経路に従うべきである。ID が取得できる権限の量、移動できる距離、取得できるデータの量、不正使用が検出され封じ込められるまでの速さ。
企業、規制当局、顧客にわたる説明責任
犯罪者は、不正アクセス、窃取、販売試行、フィッシング、SIM スワップ、関連する不正使用に直接責任を負う。セキュリティ分析はそれを希釈すべきではない。また、犯罪者の意図が、選択して保持したデータの機密性と規模に適した管理を運用するキャリアの義務を消し去ることも許すべきではない。
T-Mobile は、2021年に使用された機器とラボ、認証情報と環境境界、バックアップ配置、MVNO 管理プラットフォーム、リモート販売アプリケーション、API 権限、監視システム、元顧客と見込み顧客の記録の保持を管理していた。したがって、インシデント前に全システム横断的なリスクを軽減できる唯一の当事者であった。顧客は、警告後に信用凍結、PIN リセット、ポートアウト報告を行うことができた。T-Mobile のネットワークをセグメント化したり、API 認可を修正したりすることはできなかった。
リセラーは、自社の顧客関係の一部を管理し、異常なプラットフォーム動作を検出または報告することができた。従業員には認証情報を明け渡さない義務があったが、フィッシングキャンペーンと SIM スワップは予見可能な敵対条件である。成熟したシステムは、一部の人がだまされることを想定し、1つの侵害された ID ができることを制限する。説明責任は、従業員の非難の前に、管理設計に属する。
取締役会の役割は、ファイアウォールルールを選択することではない。それは、欲望、リソース、証拠を統治することである。記録は、取締役会が回答できるべき質問を提起する。どの非本番システムが対象データに到達できるか?フィッシング耐性 MFA を欠く特権経路はいくつあるか?緊急アクセス例外はどのくらいの期間オープンままか?顧客データストアのどのパーセンテージが保持ポリシーと調整されているか?是正が困難なために受け入れられたリスクはどれか?各インシデント後に何が変わり、その変更はどのように独立してテストされたか?
FCC の役割は命令後により強力である。評価報告書を要求し、特定された義務を執行できるからである。しかし、その証拠の多くは機密のままであり、より広範な市場規律を制限している。規制当局は、法律で許可される場合、集計されたコンプライアンス結果を公開すべきである。評価が行われたかどうか、発見事項の大まかな数と深刻度、是正が検証されたかどうか、重要な例外が残っているかどうか。これにより、セキュリティ詳細を保持しつつ、命令が単なる紙以上のものであることを示すことができる。
私人訴訟は、責任の承認なしに補償とセキュリティ支出のコミットメントを生み出した。3億5000万ドルの基金は規制罰金として説明されるべきではなく、1億5000万ドルは消費者に支払われた現金として説明されるべきではない。弁護士費用をめぐる控訴審の紛争は、和解のセキュリティ義務の破棄と誤解されるべきではない。
ワシントン州の2025年の訴訟は、既知の脆弱性、監視、パスワード、表明、通知の質に関する係争中の申し立てを追加している。これらの主張は、特定の説明責任理論を特定するため注目に値するが、この記事でレビューした情報源では未解決のままである。訴状はフォレンジックの発見ではない。攻撃メカニズムについては FCC の交渉による事実説明がより強力な情報源であり、タイミング、コスト、法的状況については T-Mobile の SEC 提出書類がより強力な情報源である。
消費者は実用的な役割を保持するが、残余の管理になるべきではない。信用凍結、アカウント乗っ取り防止、PIN 変更、フィッシング注意は、開示後に害を軽減できる。永続的な識別子を再び秘密にすることはできない。ID 監視は不正使用を人に警告できるが、社会保障番号や運転免許証番号に独占性を回復することはできない。したがって、補償とサポートは、当面の不正請求だけでなく、リスクの期間を反映すべきである。
公共部門の顧客には、追加の調達役割がある。アカウント管理、サポートアクセス、データの場所、サブプロセッサ、認証、ポートアウト管理、通知、ログの可用性、継続性テストに関する証拠を要求できる。国内データセンターを主権と同一視したり、フレームワーク整合性宣言をテスト済みセキュリティと同一視したりする契約言語を避けるべきである。調達はキャリア全体を監督することはできないが、高リスクのアカウント経路を可視化し、インシデント前のエスカレーション権限を保持することはできる。
何が変わり、まだ主張できないこと
是正記録は、2021年の最初の約束よりも実質的に強力である。T-Mobile は外部専門家を関与させ、消費者サポートに資金を提供し、主要なセキュリティ支出を約束し、企業ガバナンスを説明し、詳細な FCC プログラムを受け入れ、独立した評価に同意し、サイバーリスクを公開し続けている。API インシデントは検出後迅速に封じ込められ、FCC 和解はアイデンティティ、セグメンテーション、監視、インベントリ、保持に関する具体的な義務に広範な目標を変換している。
複数年にわたる変革中にインシデントが発生したため、何も変わらなかったと主張するのは誤りである。セキュリティプログラムは、アクティブな敵対者と継承されたシステムに対して動作する。後の一部のイベントは、最初のプログラムが完了する前に開始された。公開記録はまた、ここで分析された2021~2023年のレンズ内で、命令後の同等の顧客データ範囲の別のデータ漏洩を確立していない。
問題が解決されたと宣言することも同様に誤りである。第三者評価報告書は公開されていない。命令は2027年まで有効である。現在の年次報告書は、プロセスと残余リスクを説明しているが、フィールドレベルの管理効果は説明していない。レビューした情報源は、完全な MFA カバレッジ、API インベントリ、セグメンテーション例外、履歴データ削除の総数、環境間移動の平均検出時間、規制当局が要求する評価の結果を開示していない。
最も防御可能な結論は条件的である。T-Mobile はインシデント対応と自発的投資から、執行可能なアーキテクチャおよび証拠プログラムに移行した。これは説明責任における真の進歩である。実装の公開証明は部分的である。なぜなら、最も強力な保証チャネルは企業、評価者、FCC の間で非公開で行われるからである。
記録はまた、元のイベントをどのように理解すべきかを変える。それは単にインターネット上に残されたデータベースではなかった。侵入者は、通信機器からラボ、サーバー、バックアップに至るまでの信頼決定のシーケンスを横断した。後の攻撃者は、従業員要素、リモート販売アクセス、API 権限において異なる信頼決定を見つけた。共通の弱点は1つの製品ではなかった。それは、それを提示した ID が到達することを許されるべきであったよりも遠くまで及んだ権限であった。
データの局所性だけではそれを解決できない。記録は米国内に物理的に留まりながら、リモートの攻撃者が論理的にローカルなセッションを取得し、許可されたシステムにそれを返させる可能性がある。法的権限、技術ポリシー、インベントリ、監視、証拠が、誰がデータに基づいて行動できるか、そしてその理由について同意するときに、主権は現実のものとなる。
また、継続性はタワーの稼働時間だけで測定されるべきではない。インシデントは文書化された全国的なサービス停止を引き起こさなかったが、1つは不正なポートアウト症状を通じて検出され、露出した記録には加入者関係の周りで使用される識別子とアカウントコンテキストが含まれていた。公共機関や重要事業者にとって、回線を管理するアイデンティティを維持することは、回線自体を維持する一部である。
それが、T-Mobile の2021~2023年の記録からの永続的な説明責任基準である。人々を正確にカウントする。防御可能な目的を持つものだけを保持する。バックアップとラボをデータ保持システムとして扱う。デバイス、従業員、サービス、API に狭い ID を与える。緊急例外を意図的に終了する。有効な認証情報が無効な作業を行うことを検出する。取締役会と規制当局に受け入れられた管理債務を認識させる。そして、次のインシデントがテストを提供する前に、是正を証明可能にする。

