2019年08月31日 08時30分 公開
特集/連載

AWSの元エンジニアが大手金融から1億件以上の個人情報を盗んだ疑い、FBIが逮捕SNSから身元を特定

米連邦捜査局(FBI)がAmazon Web Services(AWS)の元エンジニアを逮捕した。金融企業Capital Oneの顧客と、クレジットカードの発行を申請した個人利用客1億人以上のデータを盗んだ容疑だ。

[Rob Wright,TechTarget]
画像

 2019年7月、米連邦捜査局(FBI)は金融大手Capital One Financialで発生した大規模データ漏えいの容疑者として、Amazon Web Services(AWS)の元エンジニアを逮捕した。

 ページ・A・トンプソン容疑者は、Capital Oneのネットワークにアクセスし、同社の顧客に加え、同社にクレジットカードの発行を申請した個人を含む1億人以上の個人情報を盗んだ疑いを掛けられている。Capital Oneのプレスリリースによると、この侵害により、米国在住の約1億人とカナダ在住の約600万人の氏名、住所、電話番号、メールアドレス、誕生日、自己申告による所得といった情報が流出した。

 Capital Oneはプレスリリースで「この侵害によって、クレジットカードに関する顧客情報の一部も流出した」と述べている。具体的には信用スコア、利用上限額、利用残高、支払履歴、2016〜2018年における計23日分の決済処理データの一部などだ。加えて「犯人は、米国在住の被害者の社会保障番号約14万件と決済用の銀行口座番号約8万件、カナダ在住の被害者の社会保険番号約100万件も手に入れた」と推測している。

手口の詳細

 「犯人は『設定の脆弱(ぜいじゃく)性』を悪用した」とCapital Oneはみている。同社は該当の脆弱性を直ちに修正したと発表した。FBIの特別捜査官ジョエル・マティーニ氏が署名した、トンプソン容疑者に対する刑事告訴状によると、容疑者はファイアウォールの設定ミスを突いて、Capital Oneのサーバに対するコマンドの実行に成功したという。

 FBIは、トンプソン容疑者がコマンドを使って「******-WAF-Role」というアカウントの資格情報を入手し、これを用いて“某クラウドサービスベンダー”のクラウドにあるCapital Oneの特定のフォルダにアクセスしたと主張している。刑事告訴状はこのベンダーを名指ししていないものの、「バケット」への言及がある。バケットという単語はAWSのオブジェクトストレージサービス「Amazon Simple Storage Service」(Amazon S3)における「データ保存領域」を指すため、このベンダーがAWSである可能性がある。

 刑事告訴状は、Capital Oneが2019年7月17日に受け取った、脆弱性の通報メールの内容(画面)も含む。このメールはCapital Oneに対し、「漏えいしたAmazon S3のデータ」がソースコード共有サービス「GitHub」で公開されていることへの注意を喚起していた。

画面 画面 Capital Oneが受け取った脆弱性の通報メール(出典:米司法省)《クリックで拡大》

芋づる式に見つかった容疑者の情報

ITmedia マーケティング新着記事

news153.jpg

「広告をきっかけにアプリをダウンロード」 回答者の46%――Criteo調査
コロナ禍におけるアプリユーザー動向調査レポート。日本のモバイルアプリユーザーはコン...

news088.jpg

「ウェビナー疲れ」 参加経験者の約7割――ファストマーケティング調べ
ウェビナーに参加する目的や参加頻度など、ウェビナー参加者の最新動向に関する調査です。

news070.jpg

現金主義からキャッシュレス利用へのシフト 理由の一つに「衛生」も――クロス・マーケティング調査
キャッシュレス利用が顕著に増加。金額によって支払い方法の使い分けが定着しつつあるよ...