AT&T、約7300万人分の個人データ流出を確認 社会保障番号が含まれるものもあり

[ITmedia]

　米通信キャリア大手のAT&Tは3月30日（土曜日）、約7300万人分の顧客および元顧客の個人情報がダークWeb上で公開されていることを、約2週間前に確認したと発表した。氏名、メールアドレス、住所、電話番号、社会保障番号、生年月日、AT&Tアカウント番号、パスコードが含まれる場合があるとしている。

　AT&Tによると、このデータセットは2019年以前のものとみられるという。約760万人の現在の顧客のデータについてはパスコード（4桁の数字）をリセットし、全員に連絡した。社会保障番号などの機密情報が漏えいした元顧客にも連絡を取る予定。

　このデータセットは、ShinyHuntersと名乗る攻撃者が2021年にダークWeb上で販売を開始したものだ。当時この件を報じたBleepingComputerに対し、AT&Tは「調査によると当社のシステムからのものではないようだ」と語った。

　今年の3月になって、サイバー犯罪フォーラムでこのデータセットが公開されたため、データの分析が可能になった。米TechCrunchなどがこのデータにパスコードなどが含まれているとAT&Tに通知したことを受け、AT&Tもこのデータセットが顧客データであることを認めた。

　AT&Tは発表文で、「データセットの流出につながる自社システムへの不正アクセスの証拠はない」としている。顧客向けサポートページでは、「これらのデータがAT&Tからのものなのか、ベンダーからのものなのかはまだ不明」としている。