T-Mobileの保有する約3700万件の個人情報が流出、ならコープから個人情報が流出した可能性【2023年1月29日配信】

/目次/
1. T-Mobileの保有する約3700万件の個人情報が流出
2.ならコープから個人情報が流出した可能性

━━━━━━━━━━━━━━━━━━━━━━━
■ 1.T-Mobileの保有する約3700万件の個人情報が流出
━━━━━━━━━━━━━━━━━━━━━━━

KrebsonSecurityの記事に依ると米国T-Mobile社が保有する約3700万件の個人情報が流出したそうです。
スマートフォンアプリではサーバと通信するためにインターネット上に公開されたAPIを用いる構成を一般的に用いられますが、そのAPIに脆弱性があり今回の情報漏洩に繋がったそうです。

New T-Mobile Breach Affects 37 Million Accounts – Krebs on Security

【所感】
記事に依るとセキュリティ対策が貧弱なAPIから個人情報が漏洩した事象がオーストラリアでも発生しているそうです。
一般ユーザに画面を公開するWebアプリケーションの開発ではWebアプリケーションで一般的に用いられる機能があらかじめ実装されたアプリケーションフレームワークを用いられることが普通です。最近のアプリケーションフレームワークにはWebアプリケーションでよくある脆弱性対策機能を提供するものも多く開発者があまり意識しなくてもセキュリティ面がある程度担保されているケースが多いと思います。
一方、APIについてはアプリケーションフレームワークの機能が十分に活用されていないのかもしれません。
APIについても一般に画面を公開するWebアプリケーションと同様のセキュリティリスクがありますので、同じレベルでのセキュリティ対策が求められます。

━━━━━━━━━━━━━━━━━━━━━━━
■ 1.ならコープから個人情報が流出した可能性
━━━━━━━━━━━━━━━━━━━━━━━

ならコープが自社に対するサイバー攻撃が原因で個人情報が流出した可能性があることを発表しました。
現時点では個人情報の漏洩を示す確かな証拠はないものの、漏洩の可能性を完全には排除できないため発表する決断を行ったとのことです。

お知らせ|ならコープ

【所感】
発表内容からインターネットからアクセス可能なネットワーク機器の脆弱性を悪用され、自社ネットワークに侵入され、マルウエアにより自社の情報が暗号化されたようです。

先日、参加したJSAC2023の1日目のプレゼンテーション「公開情報により攻撃動向の予測を行う新たな試みと調査手法の共有」では欧米と比較し、発見された脆弱性の対応が遅いとの調査結果がありました。
脆弱性対策、特に悪用が確認されているものについては特にスピード感を持って取り組むことが必要そうです。

JSAC2023 – Tokyo, January 25-26, 2023