キャピタル・ワンは、パブリッククラウドのセキュリティ不備で8000万ドルの罰金を科せられた。そう、1億600万件の顧客情報ハッキング事件でも同じ銀行だ。

キャピタル・ワンは、ずさんなパブリッククラウドのセキュリティに対して、わずか8000万ドルの罰金を支払わなければならない。そう、この米国の大手銀行は、昨年、アメリカとカナダのクレジットカード申請者1億600万人の個人情報を盗んだ悪意ある人物によってハッキングされたのだ。

盗まれたデータには、米国の社会保障番号14万件、銀行口座番号8万件、カナダの社会保険番号100万件、氏名、住所、電話番号、生年月日、申告所得などが含まれていたという。

米国財務省の独立機関である通貨監督庁（OCC）は、キャピタル・ワン（年間利益57億ドル）に対し、2015年頃にオンプレミスITをクラウドに移行した際の失敗を理由に罰金を科すと発表した。この移行は、2019年の大規模ハッキング事件以前から顧客データを危険にさらしていた。罰金は米国政府に支払われることになる。

「OCCは、銀行が重要な情報技術業務をパブリッククラウド環境に移行する前に効果的なリスク評価プロセスを確立できなかったこと、また、銀行が適時に欠陥を修正できなかったことに基づき、これらの措置を講じた」と監視機関は木曜日の声明で述べた。

OCCは今回の措置を講じるにあたり、当該銀行の顧客への通知と是正措置の取り組みを前向きに評価しました。OCCは監督下にあるすべての銀行において責任あるイノベーションを奨励していますが、銀行業務の安全性と健全性を維持し、顧客を適切に保護するためには、健全なリスク管理と内部統制が不可欠です。

OCCの命令書[PDF]によると、バージニア州に拠点を置く同銀行は2015年の内部監査でクラウドベースのデータストレージの数多くの弱点を隠蔽していた。しかし、実際に発見されたセキュリティ上の欠陥は、金融界の巨人である同銀行の監査委員会に適切に報告されていなかった。

キャピタル・ワンは脆弱性を修正することもできず、その結果、米国のすべての銀行が遵守しなければならない公式のセキュリティガイドラインに違反した。

セキュリティに対するずさんな姿勢が、近年の金融情報に関わる最悪のコンピュータセキュリティ侵害の一つにつながりました。シアトルのソフトウェアエンジニア、ペイジ・トンプソンは、キャピタル・ワンのクラウドバケットに侵入し、顧客の個人データを大量に盗んだとして告発されました。

トムソンは2019年7月の武装襲撃で手錠をかけられ、米国のコンピューター詐欺および悪用防止法違反の罪で起訴された。

OCCはまた、キャピタル・ワンに対して「情報セキュリティに関連するものを含め、安全でない、または不健全な慣行に従事すること」を禁じる業務停止命令も申請しており、これが効果を発揮することは間違いないだろう。

一方、キャピタル・ワンは、侵入以来防御を強化してきたと主張し、ハッキング前にどのようなシステムを導入していたとしても、少なくともある程度は混乱を食い止めるのに役立ったと主張した。

「顧客情報の保護は、金融機関としての当社の役割にとって不可欠です」と、キャピタル・ワンの広報担当者はThe Register紙に語った。「昨年の事件前に導入した対策により、顧客情報が利用または拡散される前にデータを保護することができ、当局がハッカーを迅速に逮捕することができました。」

事件発生から1年が経ち、当社はサイバー防御の強化に多大な追加リソースを投入し、これらの命令の要件への対応において大きな進展を遂げました。お客様への積極的な通知と是正措置に対する規制当局の評価に感謝するとともに、お客様の保護において最高水準を満たすよう、引き続き当局と緊密に連携していく所存です。®