EquifaxやMarriottのような大規模な情報漏洩事件が相次ぐ中、データ盗難疲れを感じても無理はないだろう。それは、何百万人もの個人情報が再び漏洩したという、世間知らずの倦怠感だ。
しかし、一人のハッカーがキャピタル・ワンから約1億人分の個人情報を盗み出したというニュースは、単に懸念されるだけでなく、異例の事態です。
キャピタル・ワンが「非常に洗練された人物」と評するハッカー、ペイジ・A・トンプソンが関与するこの事件について、知っておくべきことを以下にまとめた。彼女はすでにFBIに逮捕されている。
Capital One の個人データ漏洩の影響を受けたのは誰ですか?
キャピタル・ワンによると、米国では1億人が影響を受けたとのことです。カナダでは600万人に上ります。情報のほとんどは、クレジットカードを申し込んだ個人または企業から提供されたものです。そこには、クレジットカードの申込書に記載されるような情報、例えば氏名、生年月日、電話番号などが含まれています。ハッカーは信用スコアなどのクレジットカード情報も入手したとされています。
トンプソンが入手したとされる最も重大な情報は、約14万人のクレジットカード利用者の社会保障番号でした。影響を受けた約1億人の中ではごく一部ですが、社会保障番号の漏洩は常に大きな問題となります。
カナダでは、約8万件の銀行口座番号と100万件の社会保険番号も漏洩した。
それで、盗まれた情報はどうなったのでしょうか?
Capital Oneは、「この情報が詐欺に使用されたり、この人物によって拡散されたりする可能性は低いと考えている」と述べています。もしこれが事実であれば、非常に良い兆候です。他のハッキングでは、悪意のある人物が盗んだユーザー名やパスワードなどの認証情報を配布し、サイバー犯罪者はそれを使って他のサイトにログインしようとする「クレデンシャルスタッフィング」と呼ばれる手口が用いられます。(Capital Oneによると、今回のハッキングにはそのような情報は含まれていませんでした。)
Capital One のデータ侵害の影響を受けたかどうかを確認するにはどうすればいいですか?
キャピタル・ワンは、ハッキングに個人情報が関与していた場合、「様々なチャネル」を通じて通知すると述べています。同行は、自分のデータがハッキングに巻き込まれたかどうかを確認する方法についての詳細な情報提供の要請には回答していません。また、キャピタル・ワンは、漏洩した情報の大半は2005年から今年にかけての「クレジットカード商品」の申し込みに関連するものであると指摘しています。
どうしてこんなことが起きたのでしょうか?
キャピタル・ワンとワシントン州の米国検察局が提出したこの刑事告発の両方によると、容疑者のペイジ・トンプソンはアマゾン・ウェブ・サービス(AWS)をハッキングしてデータを入手したという。
キャピタル・ワンは7月17日にこの件を知った。このメールは告発書の5ページに転載されており、「s3データ」に言及している。S3(Amazon Simple Storage Service)は、その名の通りAWSの一部であるデータストレージサービスである。キャピタル・ワンにこのデータについて連絡した内部告発者は、トンプソンとされるハッカーが盗まれた情報の詳細をGitHubというサービスに投稿していることに気づいた。
訴状によると、トンプソン容疑者はファイアウォールの設定の弱点を利用してハッキングで侵入したとされている。
8月1日更新:Amazonによると、トンプソン氏はかつてAWSで働いていたが、ハッキング当時は同社に雇用されておらず、約3年間は雇用されていなかったという。Amazonはまた、ハッキングはAWS自体には存在しないファイアウォールの設定ミスが原因で発生したと指摘している。さらに、Capital Oneの担当者はメールで、ハッカーがGitHubに投稿した情報は盗まれたデータのリストであり、実際のデータではないと述べている。
このサイバーセキュリティ事件がなぜそれほど特異なのでしょうか?
「極めて異例の事態です」と、サイバーセキュリティ企業Shape SecurityのCTO、シュマン・ゴセマジュムダー氏は語る。理由はいくつかある。まず、容疑者は単独で行動していたとみられ、その目的が不明瞭だ。公開されている情報に基づき、ゴセマジュムダー氏は「この人物は、この行為をどのように収益化しようとしていたのか、明確な動機すら持っていなかった」と指摘する。
この事件を異例なものにしているもう一つの要因は、キャピタル・ワンによる情報漏洩の発表が、犯人が既に逮捕されたというニュースと重なったことだ。「通常、犯人特定に何らかの希望を抱くには、長期間のフォレンジック分析が必要となり、多くの場合、特定のデータ漏洩の背後にいた個人や組織が誰なのかを特定できないのです」とゴセマジュンダー氏は言う。
このハッキングも米国内で発生したようで、ハッカーが海外にいた場合よりも司法省、特にFBI特別捜査官ジョエル・マルティーニによる捜査が容易になった。
ゴセマジュンダー氏は、今回のような事件は「米国在住者が犯罪行為に手を染めないようにする強力な抑止力となる」と付け加えた。
この記事は、AmazonとCapital Oneからの追加情報を受けて8月1日に更新されました。元々は7月30日に公開されました。
