米国の金融機関大手であるCapital One Financialは米国時間7月29日、米国で約1億人とカナダで約600万人のデータがハッカーに盗まれたと発表した。
Capital Oneは声明に、2005~2019年に同金融機関のクレジットカードを申請した顧客は、今回のデータ漏えいの影響を受けた可能性が高いと記している。また、盗まれたデータにはおよそ14万人分の米国社会保障番号(SSN)と、およそ8万件の銀行口座番号が含まれていたという。さらに、100万人分のカナダの社会保険番号(SIN)も盗まれたという。
Capital Oneは「クレジットカード番号やログイン認証情報は漏えいしていない」とも述べており、同社のシステムに格納されているSSNの99%以上は影響を受けていないとしている。それでも、漏えいしたデータには氏名や住所、郵便番号、電話番号、電子メールアドレス、生年月日が含まれている。これらすべては、ハッカーが盗みを働くうえで利用できる価値ある情報だ。
司法省の同日付けの発表によると、米連邦捜査局(FBI)はPaige A. Thompson(別名「erratic」)という33歳のソフトウェアエンジニアを逮捕したという。Thompsonは今回のハッキングの背後にいるとして、コンピューター詐欺と乱用の罪で拘束された。
Capital Oneの会長兼最高経営責任者(CEO)Richard D. Fairbank氏は「犯人の逮捕に安堵(あんど)する一方で、今回の事件については誠に申し訳なく感じている」と述べ、「今回の事件の影響を受けた方々が当然感じている不安に対して心よりおわびするとともに、適切な対応をとるために全力を傾ける」としている。
裁判所の書類によると、ThompsonはCapital Oneが利用しているクラウドサーバー上に誤った設定のファイアウォールがあるのを発見し、情報を盗んだとみられる。Capital OneはAmazon Web Services(AWS)を利用しているとされている。捜査当局はThompsonが3月12日~7月17日の間に同サーバーにアクセスしたとしている。裁判所の書類によると、該当サーバー上には700を超えるフォルダー内にデータが格納されていたという。
FBIによると、Thompsonは4月にこのハッキングに関する詳細をGitHubページに投稿するとともに、TwitterやSlackのディスカッションで攻撃について語っていたという。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果