米金融大手キャピタル・ワンで1億人の情報流出、AWS元社員を逮捕
米国連邦捜査局(FBI)によると、過去最大規模の金融機関に対するサイバー攻撃を仕掛けたとされるハッカーは、ツイッターやスラック(Slack)で個人情報を盗んだことを自慢していた。
7月29日夜、金融サービス企業「キャピタル・ワン(Capital One)」は、顧客の米国人1億人分とカナダ人600万人分の個人情報がハッカーによって盗まれたとの声明を発表した。容疑者のペイジ・A・トンプソンは、キャピタル・ワンが最初にデータ漏洩に気付いてから約2週間経った29日、FBIに逮捕された。
最高懲役5年が科される可能性もあるトンプソン容疑者は、Webアプリケーション・ファイアウォールの設定不備を利用して、クラウド上にあるキャピタル・ワンのデータを盗んだ疑いがかけられている。キャピタル・ワンはアマゾン・ウェブ・サービス(AWS)の顧客として知られており、トンプソン容疑者は AWSの元従業員だった。
ネット上では「エラティック(erratic、突飛な)」という仮名を使っていたトンプソン容疑者は、氏名や履歴書を含む自身の個人情報と直接リンクしているギットハブ(GitHub)のアカウントで、盗んだデータを投稿していたと検察は主張している。今回のハッキング事件の捜査は、7月初めにギットハブのユーザーが漏洩データを発見し、キャピタル・ワンに報告したことがきっかけで始まった。
トンプソン容疑者の起訴状には、トンプソン容疑者がトーア(Tor)のような匿名化ツールやVPN(バーチャル・プライベート・ネットワーク)をどのように使って盗んだデータを自身のギットハブに投稿したのか、またスラックのアカウントで侵入を自慢したり、ツイッターのダイレクト・メッセージでキャピタル・ワンへのハッキングを事実上認めたりしていることが詳細に述べられている。検察は、これらすべてを証拠として取り扱っている。
起訴状によると、トンプソン容疑者は「私は実は爆弾ベストを身にまとっているようなものです」とツイッターのダイレクト・メッセージに書いていた。「キャピタル・ワンの個人情報を盗んだことを認めます。私が最初に考えたのは、この情報をばら撒きたいということです」。
今回漏洩したのは、社会保障番号、銀行口座番号、信用スコア、名前、住所を含む、2005年から2019年までの情報。クレジット・カードのアカウント番号やログイン認証情報は盗まれていない。キャピタル・ワンによると、法的な支援や顧客への通知、および第三者からの不正利用防止のために、最大で1億5000万ドルの費用が発生する可能性があるという。今回の事件のわずか1週間前には、信用情報会社「エキファックス(Equifax)」が2017年に起こったデータ漏洩に関して少なくとも5億7500万ドルを支払うことに同意したばかりだった。
「私たちはさまざまな方法で、情報漏洩の影響を受ける顧客に情報を知らせます」とキャピタル・ワンは声明の中で述べている。「影響を受けるすべての顧客が、第三者からの不正利用防止と個人情報の保護を無料で利用できるようにします」という。