[内田勝也の日々是セキュリティ]

Capital Oneの1億件超個人情報漏洩から我々が学ぶべきこと:第2回

2019年10月1日(火)内田 勝也(情報セキュリティ大学院大学 名誉教授)

クラウド利用が一般的になる中、「クラウドのほうが安全」あるいは「クラウドだから安全」といった認識が少しずつ広がっている。2019年7月、そんな認識を打ち壊しかねないとされる事態が表面化した。米国金融サービス大手のCapital One(キャピタル・ワン)において、1億件を超えるクレジットカード利用者やカード申請者の個人情報が流出した事件である。Capital OneはAWSの大口ユーザーだ。そのため発覚当時、「クラウドに暗雲が立ちこめ、大嵐になり、雲は雲散霧消では?」とする記事もあった。はたしてこの見方は正しいのか。

情報漏洩にクラウドは関係しているのか?

 2019年7月に発生した、米国金融サービス大手Capital One(キャピタル・ワン)の大規模情報漏洩。漏洩した情報にはカード情報のほかに氏名や住所、電話番号、メールアドレス、生年月日、年収が含まれ、さらに一部の利用者の与信限度額や支払い履歴もあった。2019年8月4日時点でCapital Oneは「漏洩した個人情報が悪用された形跡はない」と表明し、9月中旬時点でも悪用に関する追加の情報はないが、大規模な情報漏洩であることに違いはない。

 クラウドとの関係はどうなのか? 7月末に逮捕されたペイジ・トンプソン(Paige Tompson)容疑者は、以前にアマゾンのソフトウェアエンジニアだった経歴を持っている。このことからAWSの問題を指摘する声もあったが、実際には2016年にアマゾンを退職しており、職歴と事件に直接の関係はないと見られている。しかも容疑者が採った攻撃方法はすでに知られたものであり、この容疑者だからできたと判断することが難しい面もある。

 具体的な要因は、Webファイアウォール(WAF)の設定ミス。WAFへのアクセスに成功すれば、WAFからの内容をサーバーが無条件に"信頼"して接続の正当性は確認しないことを利用した攻撃である(図1)。このような脆弱性は古くからあり、2016年には無条件の信頼はシステムに脆弱性をもたらすことが、脆弱性情報を集めたデータベースで公開されている。

 これについてAWSは「今回の事件は、Capital Oneが独自に設置した『WAFの設定ミスが原因』であり、クラウドシステムのインフラが原因ではない。このような脆弱性はクラウド固有のものではない」とコメントしている。通常のデータセンターでも発生し得ることを暗に述べているわけだ。

図1:攻撃の流れ(概要)
拡大画像表示

 もっとも、それでフリーになるわけではない。8月段階で被害に遭った顧客の一部がCapital Oneに対して訴訟を起こしたが、被告にはAWSの名前もある。さらに盗まれたファイルが公開されていたGitHubも訴訟に巻き込まれている。こうした点でCapital Oneの事件はまだ終わったわけではない。

●Next:25年前に国内で起きた脆弱性を狙った事件

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
バックナンバー
内田勝也の日々是セキュリティ一覧へ
関連キーワード

情報漏洩 / AWS / Capital One / WAF

関連記事

Special

-PR-

Capital Oneの1億件超個人情報漏洩から我々が学ぶべきこと:第2回クラウド利用が一般的になる中、「クラウドのほうが安全」あるいは「クラウドだから安全」といった認識が少しずつ広がっている。2019年7月、そんな認識を打ち壊しかねないとされる事態が表面化した。米国金融サービス大手のCapital One(キャピタル・ワン)において、1億件を超えるクレジットカード利用者やカード申請者の個人情報が流出した事件である。Capital OneはAWSの大口ユーザーだ。そのため発覚当時、「クラウドに暗雲が立ちこめ、大嵐になり、雲は雲散霧消では?」とする記事もあった。はたしてこの見方は正しいのか。

PAGE TOP