米金融大手Capital Oneで1億人超の情報漏えい--容疑者はAWS元従業員の可能性

Alfred Ng (CNET News) 翻訳校正: 村上雅章 野崎裕子

2019-07-30 18:13

 米国の金融機関大手であるCapital One Financialは米国時間7月29日、米国で約1億人とカナダで約600万人のデータがハッカーに盗まれたと発表した。

Capital One
Capital One Financeのサンフランシスコオフィス
提供:Sterphen Shankland/CNET

 Capital Oneは声明に、2005~2019年に同金融機関のクレジットカードを申請した顧客は、今回のデータ漏えいの影響を受けた可能性が高いと記している。また、盗まれたデータにはおよそ14万人分の米国社会保障番号(SSN)と、およそ8万件の銀行口座番号が含まれていたという。さらに、100万人分のカナダの社会保険番号(SIN)も盗まれたという。

 Capital Oneは「クレジットカード番号やログイン認証情報は漏えいしていない」とも述べており、同社のシステムに格納されているSSNの99%以上は影響を受けていないとしている。それでも、漏えいしたデータには氏名や住所、郵便番号、電話番号、電子メールアドレス、生年月日が含まれている。これらすべては、ハッカーが盗みを働くうえで利用できる価値ある情報だ。

 司法省の同日付けの発表によると、米連邦捜査局(FBI)はPaige A. Thompson(別名「erratic」)という33歳のソフトウェアエンジニアを逮捕したという。Thompsonは今回のハッキングの背後にいるとして、コンピューター詐欺と乱用の罪で拘束された。

 Capital Oneの会長兼最高経営責任者(CEO)Richard D. Fairbank氏は「犯人の逮捕に安堵(あんど)する一方で、今回の事件については誠に申し訳なく感じている」と述べ、「今回の事件の影響を受けた方々が当然感じている不安に対して心よりおわびするとともに、適切な対応をとるために全力を傾ける」としている。

 裁判所の書類によると、ThompsonはCapital Oneが利用しているクラウドサーバー上に誤った設定のファイアウォールがあるのを発見し、情報を盗んだとみられる。Capital OneはAmazon Web Services(AWS)を利用しているとされている。捜査当局はThompsonが3月12日~7月17日の間に同サーバーにアクセスしたとしている。裁判所の書類によると、該当サーバー上には700を超えるフォルダー内にデータが格納されていたという。

 FBIによると、Thompsonは4月にこのハッキングに関する詳細をGitHubページに投稿するとともに、TwitterやSlackのディスカッションで攻撃について語っていたという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]