AWSの元エンジニアが大手金融から1億件以上の個人情報を盗んだ疑い、FBIが逮捕：SNSから身元を特定

米連邦捜査局（FBI）がAmazon Web Services（AWS）の元エンジニアを逮捕した。金融企業Capital Oneの顧客と、クレジットカードの発行を申請した個人利用客1億人以上のデータを盗んだ容疑だ。

[Rob Wright，TechTarget]

　2019年7月、米連邦捜査局（FBI）は金融大手Capital One Financialで発生した大規模データ漏えいの容疑者として、Amazon Web Services（AWS）の元エンジニアを逮捕した。

　ページ・A・トンプソン容疑者は、Capital Oneのネットワークにアクセスし、同社の顧客に加え、同社にクレジットカードの発行を申請した個人を含む1億人以上の個人情報を盗んだ疑いを掛けられている。Capital Oneのプレスリリースによると、この侵害により、米国在住の約1億人とカナダ在住の約600万人の氏名、住所、電話番号、メールアドレス、誕生日、自己申告による所得といった情報が流出した。

　Capital Oneはプレスリリースで「この侵害によって、クレジットカードに関する顧客情報の一部も流出した」と述べている。具体的には信用スコア、利用上限額、利用残高、支払履歴、2016〜2018年における計23日分の決済処理データの一部などだ。加えて「犯人は、米国在住の被害者の社会保障番号約14万件と決済用の銀行口座番号約8万件、カナダ在住の被害者の社会保険番号約100万件も手に入れた」と推測している。

併せて読みたいお薦め記事

不正アクセスと対処の事例

• MicrosoftのWebメール「Outlook.com」で不正アクセス　何が起きたのか？
• 不正アクセス被害の明治大学　二段階認証と「Microsoft 365」でどう対処したか
• 「Slack」が不正アクセス対策でパスワードをリセット、10万人以上に影響か

AWSの問題とリスク

• なぜ大手新聞社は「AWS」から「Google Cloud Platform」への移行を決めたのか
• 「Amazon S3」内のデータが設定ミスで公開状態に　漏えいしたデータは？

手口の詳細

　「犯人は『設定の脆弱（ぜいじゃく）性』を悪用した」とCapital Oneはみている。同社は該当の脆弱性を直ちに修正したと発表した。FBIの特別捜査官ジョエル・マティーニ氏が署名した、トンプソン容疑者に対する刑事告訴状によると、容疑者はファイアウォールの設定ミスを突いて、Capital Oneのサーバに対するコマンドの実行に成功したという。

　FBIは、トンプソン容疑者がコマンドを使って「******-WAF-Role」というアカウントの資格情報を入手し、これを用いて“某クラウドサービスベンダー”のクラウドにあるCapital Oneの特定のフォルダにアクセスしたと主張している。刑事告訴状はこのベンダーを名指ししていないものの、「バケット」への言及がある。バケットという単語はAWSのオブジェクトストレージサービス「Amazon Simple Storage Service」（Amazon S3）における「データ保存領域」を指すため、このベンダーがAWSである可能性がある。

　刑事告訴状は、Capital Oneが2019年7月17日に受け取った、脆弱性の通報メールの内容（画面）も含む。このメールはCapital Oneに対し、「漏えいしたAmazon S3のデータ」がソースコード共有サービス「GitHub」で公開されていることへの注意を喚起していた。

画面　Capital Oneが受け取った脆弱性の通報メール（出典：米司法省）《クリックで拡大》

芋づる式に見つかった容疑者の情報