米銀キャピタル・ワンの個人情報大量流出、クラウドに不安高まる

2019/08/05

米金融サービス大手キャピタル・ワン・ファイナンシャルは7月29日、ハッカーが同社のクレジットカード利用者および申請者の約1億0600万人の個人データにアクセスしたと述べた。これに絡み、連邦法執行当局はシアトルでアマゾン・ドット・コムの元従業員であるペイジ・トンプソン容疑者1人を逮捕した。

　発表によると、キャピタル・ワンの顧客データへの違法アクセスがあったのは3月下旬。流出したデータはアマゾン・ウェブ・サービス（ＡＷＳ）の「シンプル・ストレージ・サービス（Ｓ３）」に保存されていた。ＡＷＳの広報担当者は同社のクラウドがキャピタル・ワンの流出データを保存していたことを確認した。その上でＡＷＳシステムが破られたり、その脆弱性をついて侵入されたりした事案ではないと説明した。検察当局によると、ＡＷＳのサーバー上で作動するキャピタル・ワンのアプリケーションの一つを保護するファイアウォールが正しく設定されておらず、これが不正アクセスの経路になったとみられる。

　米連邦捜査局（FBI）は、米金融サービス大手キャピタル・ワン・ファイナンシャルのシステムから多くの個人情報を盗み出したとされるハッカーが、他の標的のシステムにも侵入していたかについて捜査している。

　クラウド・サービスは、速さや利用のしやすさ、コスト、セキュリティーの面から利用する企業が増えており、アマゾンなどにとって多額の収益をもたらすビジネスとなっている。アマゾンのクラウドサービス事業は、今年第2四半期に、同社に売上高84億ドル（約9100億円）、営業利益21億ドルをもたらした。だが今回のデータ漏えいを巡る捜査の拡大はある脆弱さの可能性を示している。それは、クラウドサービスには弱点があり、ハッカーが特定の顧客のセキュリティーを突破すれば、その顧客だけでなく他の顧客のシステムにも侵入できる可能性があるということだ。

今回の情報流出はアマゾンのクラウドビジネスにとって極めて重要な時期に発生した。同社は、銀行やヘルスケアなど規制の厳しい業界の企業をターゲットに、コスト削減と生産性向上をうたい文句にしながら、機密性の高い情報を「オンプレミス（自社運用）」の物理的データセンターからアマゾンにとってもうけの大きいクラウド・サービスへ移行することを勧めている。

キャピタル・ワンのリチャード・フェアバンク最高経営責任者（CEO）は、クラウド・サービスへの移行に極めて熱心だった。同社は株主総会で、「クラウドにオールインして（すべてを賭けて）いる」と表明したほどだ。

しかし、セキュリティーに関する問題が数多く発生し、注目されていることから、クラウド移行に慎重な企業もある。

FBIの宣誓供述書によると、今回の事件では、クラウド上の情報にアクセスするためのキャピタル・ワン自身のウェブアプリケーションを保護するファイアウオールが正しく設定されておらず、これが不正アクセスの経路になった。アマゾンは、顧客企業が自社のウェブアプリケーションを管理しており、AWSのインフラやサービス自体が不正アクセスされたわけではないと強調している。

米調査会社フォレスター・リサーチでセキュリティーおよびリスク部門のリサーチ・ディレクターを務めるジョセフ・ブランケンシップ氏は、今回の事件で、企業は「クラウドへの移行にさらに慎重になり、新たにリスク評価を行うことになる」と言う。

今回の不正侵入は、クラウドへ移行することによってセキュリティーの問題がより複雑になる可能性があることを企業に警告するものだとみる専門家もいる。

「アプリケーション製作者は、情報の保存やネットワークの設定には関わらない」と、米ジョージア工科大学情報セキュリティー・プライバシー研究所のマイケル・ファレル共同所長は指摘する。「クラウドのアプリケーションについては、誰がどんな技術的責任を負っているかはもちろんだが、法的責任の詳細を理解することがとても重要」だと話す。

クラウドへのデータ移行とそのデータ保護対策、責任所在の明確化は今後クラウド化が進む前に徹底検証されなければならない。

以上、Wall Street Journal、日本経済新聞、Bloombergニュースより要約引用しました。