クラウド利用が一般的になる中、「クラウドのほうが安全」あるいは「クラウドだから安全」といった認識が少しずつ広がっている。2019年7月、そんな認識を打ち壊しかねないとされる事態が表面化した。米国金融サービス大手のCapital One(キャピタル・ワン)において、1億件を超えるクレジットカード利用者やカード申請者の個人情報が流出した事件である。Capital OneはAWSの大口ユーザーだ。そのため発覚当時、「クラウドに暗雲が立ちこめ、大嵐になり、雲は雲散霧消では?」とする記事もあった。はたしてこの見方は正しいのか。
情報漏洩にクラウドは関係しているのか?
2019年7月に発生した、米国金融サービス大手Capital One(キャピタル・ワン)の大規模情報漏洩。漏洩した情報にはカード情報のほかに氏名や住所、電話番号、メールアドレス、生年月日、年収が含まれ、さらに一部の利用者の与信限度額や支払い履歴もあった。2019年8月4日時点でCapital Oneは「漏洩した個人情報が悪用された形跡はない」と表明し、9月中旬時点でも悪用に関する追加の情報はないが、大規模な情報漏洩であることに違いはない。
クラウドとの関係はどうなのか? 7月末に逮捕されたペイジ・トンプソン(Paige Tompson)容疑者は、以前にアマゾンのソフトウェアエンジニアだった経歴を持っている。このことからAWSの問題を指摘する声もあったが、実際には2016年にアマゾンを退職しており、職歴と事件に直接の関係はないと見られている。しかも容疑者が採った攻撃方法はすでに知られたものであり、この容疑者だからできたと判断することが難しい面もある。
具体的な要因は、Webファイアウォール(WAF)の設定ミス。WAFへのアクセスに成功すれば、WAFからの内容をサーバーが無条件に"信頼"して接続の正当性は確認しないことを利用した攻撃である(図1)。このような脆弱性は古くからあり、2016年には無条件の信頼はシステムに脆弱性をもたらすことが、脆弱性情報を集めたデータベースで公開されている。
これについてAWSは「今回の事件は、Capital Oneが独自に設置した『WAFの設定ミスが原因』であり、クラウドシステムのインフラが原因ではない。このような脆弱性はクラウド固有のものではない」とコメントしている。通常のデータセンターでも発生し得ることを暗に述べているわけだ。
図1:攻撃の流れ(概要)拡大画像表示
もっとも、それでフリーになるわけではない。8月段階で被害に遭った顧客の一部がCapital Oneに対して訴訟を起こしたが、被告にはAWSの名前もある。さらに盗まれたファイルが公開されていたGitHubも訴訟に巻き込まれている。こうした点でCapital Oneの事件はまだ終わったわけではない。
●Next:25年前に国内で起きた脆弱性を狙った事件
会員登録(無料)が必要です
- 1
- 2
- 次へ >
- 緊迫した現場で強いストレス─サイバーセキュリティとメンタルヘルスの関係:第8回(2020/06/12)
- パンデミックと情報セキュリティ、危機管理対策の共通性を考える:第7回(2020/05/12)
- 三菱電機の事案から、サイバー攻撃被害企業が行う「情報公開」の意義、あり方を考える:第6回(2020/02/04)
- 神奈川県庁のHDD流出事件からの教訓─リース契約時の注意点と事業者の責任対策:第5回(2019/12/13)
- 「見えない情報」をどう守る?─重要インフラの事件・事故から考える:第4回(2019/11/19)
情報漏洩 / AWS / Capital One / WAF
