KADOKAWA Technology Review
×

ニューズラインエマージング・テクノロジーの最新情報をお届け。

米金融大手キャピタル・ワンで1億人の情報流出、AWS元社員を逮捕
AP
A hacker stole the personal data of 100 million Capital One customers

米金融大手キャピタル・ワンで1億人の情報流出、AWS元社員を逮捕

米国連邦捜査局(FBI)によると、過去最大規模の金融機関に対するサイバー攻撃を仕掛けたとされるハッカーは、ツイッターやスラック(Slack)で個人情報を盗んだことを自慢していた。

7月29日夜、金融サービス企業「キャピタル・ワン(Capital One)」は、顧客の米国人1億人分とカナダ人600万人分の個人情報がハッカーによって盗まれたとの声明を発表した。容疑者のペイジ・A・トンプソンは、キャピタル・ワンが最初にデータ漏洩に気付いてから約2週間経った29日、FBIに逮捕された。

最高懲役5年が科される可能性もあるトンプソン容疑者は、Webアプリケーション・ファイアウォールの設定不備を利用して、クラウド上にあるキャピタル・ワンのデータを盗んだ疑いがかけられている。キャピタル・ワンはアマゾン・ウェブ・サービス(AWS)の顧客として知られており、トンプソン容疑者は AWSの元従業員だった。

ネット上では「エラティック(erratic、突飛な)」という仮名を使っていたトンプソン容疑者は、氏名や履歴書を含む自身の個人情報と直接リンクしているギットハブ(GitHub)のアカウントで、盗んだデータを投稿していたと検察は主張している。今回のハッキング事件の捜査は、7月初めにギットハブのユーザーが漏洩データを発見し、キャピタル・ワンに報告したことがきっかけで始まった。

トンプソン容疑者の起訴状には、トンプソン容疑者がトーア(Tor)のような匿名化ツールやVPN(バーチャル・プライベート・ネットワーク)をどのように使って盗んだデータを自身のギットハブに投稿したのか、またスラックのアカウントで侵入を自慢したり、ツイッターのダイレクト・メッセージでキャピタル・ワンへのハッキングを事実上認めたりしていることが詳細に述べられている。検察は、これらすべてを証拠として取り扱っている。

起訴状によると、トンプソン容疑者は「私は実は爆弾ベストを身にまとっているようなものです」とツイッターのダイレクト・メッセージに書いていた。「キャピタル・ワンの個人情報を盗んだことを認めます。私が最初に考えたのは、この情報をばら撒きたいということです」。

今回漏洩したのは、社会保障番号、銀行口座番号、信用スコア、名前、住所を含む、2005年から2019年までの情報。クレジット・カードのアカウント番号やログイン認証情報は盗まれていない。キャピタル・ワンによると、法的な支援や顧客への通知、および第三者からの不正利用防止のために、最大で1億5000万ドルの費用が発生する可能性があるという。今回の事件のわずか1週間前には、信用情報会社「エキファックス(Equifax)」が2017年に起こったデータ漏洩に関して少なくとも5億7500万ドルを支払うことに同意したばかりだった。

「私たちはさまざまな方法で、情報漏洩の影響を受ける顧客に情報を知らせます」とキャピタル・ワンは声明の中で述べている。「影響を受けるすべての顧客が、第三者からの不正利用防止と個人情報の保護を無料で利用できるようにします」という。

パトリック・ハウエル・オニール [Patrick Howell O'Neill] 2019.08.02, 11:24
日本発「世界を変える」U35イノベーター

MITテクノロジーレビューが20年以上にわたって開催しているグローバル・アワード「Innovators Under 35 」。2024年受賞者決定!授賞式を11/20に開催します。チケット販売中。 世界的な課題解決に取り組み、向こう数十年間の未来を形作る若きイノベーターの発掘を目的とするアワードの日本版の最新情報を随時発信中。

特集ページへ
MITテクノロジーレビューは有料会員制サイトです
有料会員になると、毎月150本以上更新されるオリジナル記事が読み放題!
フォローしてください重要なテクノロジーとイノベーションのニュースをSNSやメールで受け取る