Sponsored Contents

securityの最新記事

Image credit:
Save

米銀行のクラウドサーバーから1億人規模の個人情報流出、AWS元従業員が逮捕

「クラウド固有のものではない」ファイアウォールの設定ミスが標的に

石井徹(TORU ISHII), @ishiit_aroka
2019年7月30日, 午後05:00 in security
298シェア
59
239
0

連載

注目記事

HomePodレビュー。Apple MusicとSiriが家に来るスマート高音質スピーカー

HomePodレビュー。Apple MusicとSiriが家に来るスマート高音質スピーカー

Ittousai, 8月13日
View

米国の銀行Capital Oneで1億人規模のデータ流出が発覚しました。犯人と思われるシアトル出身の女性ソフトウェアエンジニアPaige ThompsonはFBIにより逮捕されています。この犯行で特異なのは、容疑者がかつて在籍していたAWSへの不正アクセスを試みたことです。

陳述書によると犯行は今年3月22日と23日に行われました。容疑者はCapital Oneがクラウドサーバー上の「ファイアウォールの設定ミス」を攻撃し、保管していたデータ不正にアクセスし、個人情報を窃取しています。

一般的に犯人が特定が難しいサイバー犯罪ながら、今回のケースでは早期の逮捕に至っています。犯行後、GitHubアカウントに不正アクセスについて投稿しています。7月17日、それを見た第三者がCapital Oneの脆弱性報告プログラムを通じて警告し事件が発覚。7月27日には犯人逮捕に至っています。

容疑者はGitHubアカウントの登録に実名を使っていたほか、履歴書を登録していました。GitHubへの投稿時に使われたVPNアカウントでAWSへの不正アクセスを試みていたことも証拠となっています。また、容疑者は犯行後、TwitterのダイレクトメッセージでCapital Oneの公式アカウント宛に挑発するようなメッセージを送りつけています。




裁判所が公開した陳述書ではAWSの社名は伏せられ「クラウドコンピューティング会社」と記載されているものの、BloombergはAmazonの担当者に確認し、盗まれたCapitol Oneの情報がAWS上に保管されているものであることと、容疑者が2016年までAWSに在籍していたことを確認しています。

ただし、Capital Oneは「(犯行に利用された)脆弱性はクラウド固有のものではありません」として、AWS特有のセキュリティホールであることを否定。Bloombergの取材に答えたAmazon関係者は、狙われた脆弱性は、AWSの内部者でなくても攻撃できる内容だったと述べています。

流出した情報は主に2005年〜2019年にかけてCapital Oneクレジットカードを申し込んだ人の登録情報が中心で、名前、住所、電話番号、申告収入額などが含まれています。また、23日分の決済データの断片や、一部の顧客の信用情報なども含まれるほか、14万人分の米国の社会保障番号や、8万人分の銀行口座番号が流出しています。また、カナダ在住の契約者の100万人分の社会保険番号が危険にされたとしています。




「TechCrunch Tokyo 2019」11月14日、15日に開催



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

298シェア
59
239
0

Sponsored Contents