検索
特集/連載

AWSの元エンジニアが大手金融から1億件以上の個人情報を盗んだ疑い、FBIが逮捕SNSから身元を特定

米連邦捜査局(FBI)がAmazon Web Services(AWS)の元エンジニアを逮捕した。金融企業Capital Oneの顧客と、クレジットカードの発行を申請した個人利用客1億人以上のデータを盗んだ容疑だ。

Share
Tweet
LINE
Hatena
画像

 2019年7月、米連邦捜査局(FBI)は金融大手Capital One Financialで発生した大規模データ漏えいの容疑者として、Amazon Web Services(AWS)の元エンジニアを逮捕した。

 ページ・A・トンプソン容疑者は、Capital Oneのネットワークにアクセスし、同社の顧客に加え、同社にクレジットカードの発行を申請した個人を含む1億人以上の個人情報を盗んだ疑いを掛けられている。Capital Oneのプレスリリースによると、この侵害により、米国在住の約1億人とカナダ在住の約600万人の氏名、住所、電話番号、メールアドレス、誕生日、自己申告による所得といった情報が流出した。

 Capital Oneはプレスリリースで「この侵害によって、クレジットカードに関する顧客情報の一部も流出した」と述べている。具体的には信用スコア、利用上限額、利用残高、支払履歴、2016〜2018年における計23日分の決済処理データの一部などだ。加えて「犯人は、米国在住の被害者の社会保障番号約14万件と決済用の銀行口座番号約8万件、カナダ在住の被害者の社会保険番号約100万件も手に入れた」と推測している。

手口の詳細

 「犯人は『設定の脆弱(ぜいじゃく)性』を悪用した」とCapital Oneはみている。同社は該当の脆弱性を直ちに修正したと発表した。FBIの特別捜査官ジョエル・マティーニ氏が署名した、トンプソン容疑者に対する刑事告訴状によると、容疑者はファイアウォールの設定ミスを突いて、Capital Oneのサーバに対するコマンドの実行に成功したという。

 FBIは、トンプソン容疑者がコマンドを使って「******-WAF-Role」というアカウントの資格情報を入手し、これを用いて“某クラウドサービスベンダー”のクラウドにあるCapital Oneの特定のフォルダにアクセスしたと主張している。刑事告訴状はこのベンダーを名指ししていないものの、「バケット」への言及がある。バケットという単語はAWSのオブジェクトストレージサービス「Amazon Simple Storage Service」(Amazon S3)における「データ保存領域」を指すため、このベンダーがAWSである可能性がある。

 刑事告訴状は、Capital Oneが2019年7月17日に受け取った、脆弱性の通報メールの内容(画面)も含む。このメールはCapital Oneに対し、「漏えいしたAmazon S3のデータ」がソースコード共有サービス「GitHub」で公開されていることへの注意を喚起していた。

画面
画面 Capital Oneが受け取った脆弱性の通報メール(出典:米司法省)《クリックで拡大》

芋づる式に見つかった容疑者の情報

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る