クラウドのセキュリティ問題にスポット　Capital Oneのデータ漏えい

容疑者は元AWSのシステムエンジニア

　Capital Oneは、金融機関の中ではAWSなどのパブリッククラウドを早期から導入してきた。Washington Postによると、Rob Alexander氏は2015年にAWSのイベントに登壇し「顧客のニーズを満たす、データセンターのコストを削減する、セキュリティを強化する」ためにクラウドを利用していると語った。いきおい、事件でクラウドのセキュリティが注目を集めることになった。

　Capital Oneはプレスリリースで、「この種類の脆弱性はクラウド特有のものではない。攻撃に関連しているインフラの要素は、クラウドでもオンプレミスのデータセンター環境でも共通している」と説明している。さらには、「この脆弱性を診断して修正するのに要したスピード、被害の規模の特定は、我々がクラウド運用モデルを採用しているからこそ実現した」とも述べている。

　Wall Street Journalは、「問題はクラウドの利用ではなく、データ周りのコントロールにあると（Capital OneとAWSの）両社は述べている」としながらも、Capital Oneがクラウド戦略を採用した際、顧客データにきちんと対策を施していたかの疑問が残る、とする。

　さらには、容疑者のThompson氏が2015年から16年の間、システムエンジニアとしてAWS（子会社）に勤務していたことがAWSのセキュリティ懸念を大きくしている。セキュリティ企業UpGuardでサイバーリスクを研究するChris Vickery氏は「Thompson容疑者がハッキングにあたってAWSで得た専門知識を活用したのかが注目される」とWall Street Journalに問題点を語っている。

　なお、Thompson容疑者は、自身のハッキング行為について、Meetup、GitHub、Slack、Twitterなどのオンラインチャネルで、ハッカーとしての腕を自慢する投稿を行っており、これがFBIの目に留まったとNew York Timesなどは報じている。