AWSの元エンジニアが大手金融から1億件以上の個人情報を盗んだ疑い、FBIが逮捕SNSから身元を特定

米連邦捜査局(FBI)がAmazon Web Services(AWS)の元エンジニアを逮捕した。金融企業Capital Oneの顧客と、クレジットカードの発行を申請した個人利用客1億人以上のデータを盗んだ容疑だ。

2019年08月31日 08時30分 公開
[Rob WrightTechTarget]
画像

 2019年7月、米連邦捜査局(FBI)は金融大手Capital One Financialで発生した大規模データ漏えいの容疑者として、Amazon Web Services(AWS)の元エンジニアを逮捕した。

 ページ・A・トンプソン容疑者は、Capital Oneのネットワークにアクセスし、同社の顧客に加え、同社にクレジットカードの発行を申請した個人を含む1億人以上の個人情報を盗んだ疑いを掛けられている。Capital Oneのプレスリリースによると、この侵害により、米国在住の約1億人とカナダ在住の約600万人の氏名、住所、電話番号、メールアドレス、誕生日、自己申告による所得といった情報が流出した。

 Capital Oneはプレスリリースで「この侵害によって、クレジットカードに関する顧客情報の一部も流出した」と述べている。具体的には信用スコア、利用上限額、利用残高、支払履歴、2016〜2018年における計23日分の決済処理データの一部などだ。加えて「犯人は、米国在住の被害者の社会保障番号約14万件と決済用の銀行口座番号約8万件、カナダ在住の被害者の社会保険番号約100万件も手に入れた」と推測している。

手口の詳細

 「犯人は『設定の脆弱(ぜいじゃく)性』を悪用した」とCapital Oneはみている。同社は該当の脆弱性を直ちに修正したと発表した。FBIの特別捜査官ジョエル・マティーニ氏が署名した、トンプソン容疑者に対する刑事告訴状によると、容疑者はファイアウォールの設定ミスを突いて、Capital Oneのサーバに対するコマンドの実行に成功したという。

 FBIは、トンプソン容疑者がコマンドを使って「******-WAF-Role」というアカウントの資格情報を入手し、これを用いて“某クラウドサービスベンダー”のクラウドにあるCapital Oneの特定のフォルダにアクセスしたと主張している。刑事告訴状はこのベンダーを名指ししていないものの、「バケット」への言及がある。バケットという単語はAWSのオブジェクトストレージサービス「Amazon Simple Storage Service」(Amazon S3)における「データ保存領域」を指すため、このベンダーがAWSである可能性がある。

 刑事告訴状は、Capital Oneが2019年7月17日に受け取った、脆弱性の通報メールの内容(画面)も含む。このメールはCapital Oneに対し、「漏えいしたAmazon S3のデータ」がソースコード共有サービス「GitHub」で公開されていることへの注意を喚起していた。

画面 画面 Capital Oneが受け取った脆弱性の通報メール(出典:米司法省)《クリックで拡大》

芋づる式に見つかった容疑者の情報

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news013.jpg

Webサイト改善のゴール(KGI)と戦略(KPI)の決め方
連載第2回目となる今回は、Webサイト改善のためのゴール(KGI)と戦略(KPI)の設定方法...

news163.jpg

メルマガをきっかけにした商品購入、B2B商材ではどれくらいの人が経験?
ラクスが「メルマガに関する調査レポート」を公表した。メルマガ経由のサービス購入や資...

news018.png

「ECプラットフォーム」売れ筋TOP10(2025年2月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。