米国の金融機関大手であるCapital One Financialは米国時間7月29日、米国で約1億人とカナダで約600万人のデータがハッカーに盗まれたと発表した。
Capital One Financeのサンフランシスコオフィス
提供:Sterphen Shankland/CNET
Capital Oneは声明に、2005~2019年に同金融機関のクレジットカードを申請した顧客は、今回のデータ漏えいの影響を受けた可能性が高いと記している。また、盗まれたデータにはおよそ14万人分の米国社会保障番号(SSN)と、およそ8万件の銀行口座番号が含まれていたという。さらに、100万人分のカナダの社会保険番号(SIN)も盗まれたという。
Capital Oneは「クレジットカード番号やログイン認証情報は漏えいしていない」とも述べており、同社のシステムに格納されているSSNの99%以上は影響を受けていないとしている。それでも、漏えいしたデータには氏名や住所、郵便番号、電話番号、電子メールアドレス、生年月日が含まれている。これらすべては、ハッカーが盗みを働くうえで利用できる価値ある情報だ。
司法省の同日付けの発表によると、米連邦捜査局(FBI)はPaige A. Thompson(別名「erratic」)という33歳のソフトウェアエンジニアを逮捕したという。Thompsonは今回のハッキングの背後にいるとして、コンピューター詐欺と乱用の罪で拘束された。
Capital Oneの会長兼最高経営責任者(CEO)Richard D. Fairbank氏は「犯人の逮捕に安堵(あんど)する一方で、今回の事件については誠に申し訳なく感じている」と述べ、「今回の事件の影響を受けた方々が当然感じている不安に対して心よりおわびするとともに、適切な対応をとるために全力を傾ける」としている。
裁判所の書類によると、ThompsonはCapital Oneが利用しているクラウドサーバー上に誤った設定のファイアウォールがあるのを発見し、情報を盗んだとみられる。Capital OneはAmazon Web Services(AWS)を利用しているとされている。捜査当局はThompsonが3月12日~7月17日の間に同サーバーにアクセスしたとしている。裁判所の書類によると、該当サーバー上には700を超えるフォルダー内にデータが格納されていたという。
FBIによると、Thompsonは4月にこのハッキングに関する詳細をGitHubページに投稿するとともに、TwitterやSlackのディスカッションで攻撃について語っていたという。