カリフォルニア州の判事は、AT&Tが加入者の電話番号をハッカーに渡し、ハッカーが2,400万ドル相当の仮想通貨を盗むことを許したとして、同社に対する2億4,000万ドルの訴訟を承認した。
マイケル・ターピン氏は2018年8月に携帯電話事業者AT&Tを提訴し、1年後にはより具体的な主張をするために訴訟内容を修正した。今週、判事はAT&Tの訴訟棄却の申し立てを却下し、ターピン氏が陪審員の前でAT&Tが自らの立場を弁護するのに十分な証拠を提示したと指摘した。
問題の核心はテルピン氏の電話番号だ。2017年6月、AT&Tの店舗で11回もの試みを経て、犯人はテルピン氏の電話番号を犯罪者が所有するスマートフォンに転送することに成功した。これはいわゆるSIMジャッキング攻撃である。このスマートフォンは、テルピン氏の電話番号に紐付けられた仮想通貨アカウントへのアクセスに使用され、金額不明のビットコインを盗み出し、Skypeでテルピン氏になりすました。
テルピン氏はAT&Tに苦情を申し立て、同社は今後何らかの変更を行う際には身分証明書の提示だけでなく、テルピン氏と妻だけが知っている6桁の特別なコードも入力しなければならない特別なシステムを導入することに同意した。
しかし、これらの追加対策にもかかわらず、2018年1月、詐欺師たちは再び彼の電話番号を乗っ取り、再び彼の仮想通貨アカウントに侵入し、最終的に2,400万ドル相当のビットコインを盗んだとテルピン氏は主張している。テルピン氏は、AT&Tが合意したセキュリティプロトコルを遵守しなかったとして同社を提訴し、懲罰的損害賠償を求めている。AT&Tは、いかなる損失についても責任を否定している。
当初の訴訟で不明確だったのは、ハッカーが乗っ取った電話番号をどのように利用して彼のアカウントにアクセスしたのか、そしてAT&Tが盗難の責任を負うべきかどうかでした。AT&Tは、彼が使用した暗号通貨アカウントでは二要素認証(2FA)が有効になっていなかったため、責任を問うことはできないと主張しました。
どうやってそうなった?
修正された訴状の中で、テルピン氏は、ハッカーが彼の電話番号を使って特定のオンラインアカウントのパスワード変更と2FAトークンを要求し、その後ハッカーがそのアカウントにアクセスして、彼の仮想通貨ウォレットのログイン詳細を含むファイルを発見したと主張した。
「[テルピン氏のパスワードで保護された]プログラムにパスワードリセット要求が送られ、SIMスワップによってハッカーが入手したテルピン氏の電話番号に2FAメッセージが送信された」と訴状には記されている[PDF]。
裁判官は今週の判決文で、「テルピン氏はさらに、ハッカーたちが新しいパスワードを作成し、『機密情報を含むファイルを見つけてテルピン氏の[仮想通貨]ウォレットやアカウントにアクセスできた』と主張している。その結果、2018年1月7日から8日の間に、ハッカーたちは彼から2,400万ドル近くの仮想通貨を盗んだ」と指摘した。
なんとマサチューセッツの野郎どもだ!ニューイングランドの2人組がSIMスワップの仮想通貨使用で手錠をかけられる
続きを読む
そのアカウントが何であったかは不明だが、パスワードマネージャーかクラウドストレージアーカイブだった可能性もある。テルピン氏の代理人は、これ以上の情報提供の要請を拒否した。しかし裁判官は、関係するアカウントが正確に何であったかは重要ではなく、AT&Tの行為が窃盗に直接つながったことだけが重要だと明言した。
「現段階では、テルピン氏はハッキングの正確な手順を再現する必要はなく、ハッカーによる同氏の電話番号へのアクセスと仮想通貨の盗難を結びつける、もっともらしい一連の出来事の『自然で継続的な手順』を確立するだけでよい」と判事は判決を下した。
重要なのは、裁判官が、経済的損失の請求が法的に認められるためには、テルピン氏とAT&Tの間に「特別な関係」が存在するという主張を立証したと判断した点です。テルピン氏は、AT&Tとの契約、AT&Tが特別な6桁の暗証番号を通じて彼の情報を秘密に保つことを約束していたという事実、そしてAT&Tに責任を負わせることで、同社が「合理的で信頼性が高く、業界標準のセキュリティ対策を提供する」ことを義務付けられることになる点を指摘しました。
小さな文字で書かれたもの
しかし、彼の主張がすべて認められたわけではない。AT&Tとの契約書に「お客様の個人情報がポリシーに反する方法で開示されることは決してないと保証することはできない」という細則があったため、同社は隠蔽による欺瞞の訴えを免れた。また、別の訴えも棄却された。
しかし重要なのは、将来受け取れる可能性のある賠償金の額が議論の余地があるということです。懲罰的損害賠償が適用されるには(彼が失った2,400万ドルから、彼が請求している2億4,000万ドルまでを例に挙げると)、彼は「AT&Tの役員、取締役、またはマネージング・エージェントが、彼が訴えている不法行為について知っていた、またはそれを承認した」と主張する必要があります。
テルピン氏はAT&Tの社員ジャミル・スミス氏の名前を挙げ、「犯罪組織に買収され」、「テルピン氏が[AT&T]の店舗を訪れ身分証明書を提示したことを示す情報を捏造した」と主張しているが、具体的に「企業不正行為」で訴訟を起こすには、窃盗と6桁のコードを使用しなかったことに上層部の人物を結び付ける必要がある。
つまり、不正行為を行ったのがたった一人の従業員だった場合、組織全体に対して損失額を超える損害賠償を求めて訴訟を起こすことはできない。しかし、裁判官は彼に21日間の猶予を与え、訴状を修正し、AT&Tが合意されたセキュリティポリシーの実施において重大な過失を犯したと主張するよう命じた。
全体的に見て、訴訟の継続を認める決定は重要なものです。裁判官は、AT&Tが必要な身分証明書を持たない人物にテルピン氏の電話番号の管理を委ねた結果、テルピン氏が失った金銭について、AT&Tが責任を負う可能性が高いことを認めました。
しかし、解決への道のりは依然として長く困難なものとなるでしょう。ハッカーがどのようにしてその電話番号から彼のアカウントに侵入できたのかは依然として不明であり、その後の出来事についてAT&Tが何らかの責任を負うべきかどうかは現時点では判断できません。
しかしながら、この訴訟はいくつかの理由から注目に値する。第一に、携帯電話を用いて本人確認を行うことはますます一般的になりつつあり、明確な判例のない法分野である。第二に、この訴訟は、モバイルネットワークが顧客のリクエストやアカウントのセキュリティに対応する方法に大きな変化をもたらす可能性がある。
携帯電話が私たちの生活のあらゆる場面でますます重要な役割を果たしている現状において、大きな疑問が生じます。携帯電話の安全性を確保する責任は私たちだけにあるのでしょうか。それとも、携帯電話や関連データ プランの販売で利益を得ている企業にも、ある程度の責任があるのでしょうか。®
