ハッカーがキャピタル・ワンのクラウドストレージバケットを襲撃し、アメリカとカナダのクレジットカード申請者1億600万人の個人情報を盗んだ。
盗まれたデータには、米国の社会保障番号14万件、銀行口座番号8万件、カナダの社会保険番号100万件、氏名、住所、電話番号、生年月日、申告所得などが含まれているという。
盗まれたデータは2005年から2019年初頭にかけて、クレジットカード利用希望者からキャピタル・ワンに提出された。情報は今年3月から7月17日の間に抜き出され、キャピタル・ワンは7月19日に侵入を知った。
シアトル在住のソフトウェアエンジニア、ペイジ・A・トンプソン(通称「erratic」、Twitterでは0xA3A97B6C)は、データを盗んだ疑いで、今週月曜日に自宅でFBIに逮捕された。33歳のトンプソンは、米国コンピュータ詐欺・濫用防止法違反の罪で既に出廷している。彼女は8月1日の次回審理まで拘留される。
連邦捜査局の裁判書類[PDF]によると、トンプソンはキャピタル・ワンのクラウドホスト・ストレージ(アマゾン・ウェブ・サービスのS3バケットと思われる)に侵入し、そのコンテンツをダウンロードしたという。
金融大手キャピタル・ワンは、侵入者が「設定上の脆弱性」を悪用したと発表しました。一方、連邦政府は「ファイアウォールの設定ミスにより、コマンドがキャピタル・ワンのクラウドベース・ストレージサーバーに到達し、実行された」と述べています。米国検察は、侵入者が「設定ミスのあるウェブアプリケーション・ファイアウォール」をすり抜けたと述べています。
いずれにせよ、VPNサービス「IPredator」と匿名化技術「Tor」ネットワークを利用した何者かが、銀行のクラウドシステムに不正アクセスし、利用者の個人データをダウンロードしたと考えられます。この「設定ミス」はその後修正されました。
ちなみに、トンプソン氏は2015年から2016年にかけてAmazon Web Servicesのエンジニアとして、特にクラウドストレージシステムを担当し、空き時間にはさまざまなソフトウェアプロジェクトに携わっていたほか、自身のサーバーホスティング会社Netcraveも運営していた。
キャピタル・ワンはハッキングに関するウェブページで月曜日に次のように述べた。
キャピタル・ワンは、ハッカー容疑者が手錠をかけられる前に盗まれた情報が他の誰かに共有された可能性は「低い」と述べた。興味深いことに、FBIは特定の情報、特に社会保障番号と保険番号がトークン化または暗号化されていたと述べたのに対し、キャピタル・ワンは少なくとも一部の情報が盗難の結果として漏洩したと推定している。これは、すべての番号ではないものの、ほとんどの番号が暗号化され、外部からアクセスできない状態になっていたことを示唆している。クレジットカード業界はさらに次のように述べている。
影響を受ける顧客には、キャピタル・ワンのスタッフからサイバー攻撃について通知が届き、通常通り、無料の個人情報盗難対策と信用情報監視サービスが提供されるとのことです。詳細については、こちらのFAQをご覧ください。
逮捕
トンプソン容疑者はSlackで友人たちにハッキングのことを自慢し、GitHub Gistの公開投稿で秘密を漏らしたとされている。この行動により、連邦政府は捜索令状を持って文字通り彼女の玄関先にまでやって来た。
アンクル・サムによると、GitHubユーザーがキャピタル・ワンのシステムに関する情報を含むerratic氏のGist投稿を発見し、この金融大手に非公開でメールを送り、サイバー犯罪者による被害の可能性があると警告したという。FBIによると、Erratic氏のGistにはキャピタル・ワンのクラウドバケット約700個の詳細情報と、それらにアクセスするためのコマンドが記載されており、銀行の技術者がこれらのコマンドをテストしたところ、クレジットカード申請者のデータが実際に取得できたという。
具体的には、あるコマンドが次の2つのコマンドの認証情報を取得し、Capital OneのS3バケットをリストアップしてその内容を取得していました。Capital Oneのシステムログを覗き込んだところ、これらのコマンドは今年初めにTorとIPredatorを介して銀行外の何者かによって使用されたことが判明しました。
Capital Oneのサイトでパスワードは厳格に管理されている?当てにしないほうがいい
続きを読む
2日後、キャピタル・ワンはFBIに通報し、FBIは、GitHub Gistの投稿でトンプソンさんの本名(paigeadelethompson)がアカウント名として使われていたため、FBIがトンプソンさんのGitHubアカウントから彼女を特定できたと主張した。
この名前は、ワシントン州の運転免許証データベースを検索し、捜査官が彼女の自宅住所を特定することに繋がりました。彼女のGitHubアカウントは、システムエンジニアの履歴書をホストするGitLabプロフィールにもリンクされており、履歴書には彼女の住所と氏名が記載されていました。彼女のGitHubアカウントには、キャピタル・ワンのS3バケットへの侵入に使用されたものと同じIPredatorのIPアドレスからアクセスされていたと主張されています。
トンプソン容疑者はまた、プライベートメッセージで友人にこう伝えたとされている。「俺は基本的に爆弾ベストを身にまとって、キャピタル・ワンズの個人情報を漏らして、それを自白するつもりだ。まずはバケツを配りたい。社会保障番号もあるし…氏名と生年月日も載っている」。FBIによると、この友人がキャピタル・ワンズに密告したという。
捜査官がシアトルの自宅で彼女の所持品を調べたところ、盗まれたキャピタル・ワンのデータが入ったストレージ機器が発見されたとされている。彼女は直ちに逮捕され、起訴された。
「犯人が逮捕されたことに感謝する一方、起きたことについては深く遺憾に思う」とキャピタル・ワンの最高経営責任者(CEO)兼会長リチャード・フェアバンク氏は述べた。
「この事件によって被害に遭われた方々に当然ながらご心配をおかけしていることを心からお詫び申し上げます。そして、この事態を正すために全力を尽くします。」
ワシントン州西部地区連邦検事のブライアン・モラン氏は、「キャピタル・ワンはデータ盗難について迅速に法執行機関に通報し、FBIが侵入を追跡することができました。データの状況を把握し、安全を確保するために全力を尽くしている法執行機関のパートナーを称賛します。」と付け加えました。
