Infostand海外ITトピックス

クラウドのセキュリティ問題にスポット Capital Oneのデータ漏えい

 米銀行大手Capital Oneから約1億人分という大量の個人情報が流出した。同行は全米7番手の銀行で、銀行業界で最大規模のデータ漏えい事件となりそうだ。Capital Oneは早くからクラウドを利用していることでも知られており、漏えいしたデータはAWS上で保管されていたという。事件で、クラウドのセキュリティがどうあるべきかも議論されている。

1億600万人分のデータ流出

 Capital Oneの7月29日の発表によると、2005年から今年にかけてクレジットカードの申請をした人など計1億600万人の個人情報が不正アクセスを受けた。内訳は米国が約1億人、カナダが約600万人。データは、名前、住所、電話番号、電子メール、生年月日など。クレジットカード番号自体は含まれていないというが、クレジットスコア、上限、残高、支払い履歴などは含まれていた。

 また、米国では14万人分の社会保障番号、クレジットカードにひも付けされた8万人分の銀行口座情報、カナダでは100万人分の社会保障暗号が漏えいした。データは暗号化されていたというが、攻撃の過程で解読が可能になっていたという。

 BBCのまとめでは、1億600万人は、過去8番目の規模のデータ漏えい事件という。

 Capital Oneは原因について、設定上の脆弱性が悪用されたと説明している。7月19日に外部のセキュリティ専門家の報告を受けて調べた結果、不正アクセスを認知した。発生は3月22、23日としている。問題の原因となった脆弱性については発表前に修正済みとしている。

 発表と同じ日、FBI(米連邦捜査局)は、シアトル州在住のPaige Thompsonという女性をCapital Oneの顧客データに不正アクセスを行った容疑で逮捕している。