1億人超の個人情報流出、容疑者はAmazon元従業員 クラウドセキュリティに不安の声も：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　また大規模な情報流出が発覚した。

　米金融大手のCapital Oneから、クレジットカードの発行を申請した個人や企業など1億600万人あまりの個人情報が流出した事件。容疑者として米連邦捜査局（FBI）に逮捕されたソフトウェアエンジニアの女はAmazonの元従業員だったと伝えられている。

　今回の事件はクラウドセキュリティを巡る不安や、情報を流出させた企業が多額のつけを負う実態を改めて浮き彫りにした。

　逮捕されたペイジ・トンプソン容疑者（33）は、Webアプリケーションファイアウォールの設定ミスを突いてCapital Oneのデータが保存されたサーバから情報を盗んだとされ、GitHubでそのことを吹聴していた。

米法務省のプレスリリース

　米セキュリティジャーナリストのブライアン・クレブス氏によると、トンプソン容疑者がGitLabに掲載したレジュメの職歴には、Amazonの社名があった。

クレブス氏のブログより

　同容疑者はTwitterへ投稿の中で、Amazonのクラウドインスタンスに対するハッキングについて言及していた。Slackのチャンネルには、セキュリティに不備のあるAmazonクラウドインスタンスをハッキングして、他の大手企業のデータにも不正アクセスしていたことをうかがわせる投稿があったという。

　一方、AmazonはCapital Oneの事件に関して報道各社に寄せた声明で、Amazon Web Services（AWS）がハッキングされた事実はないと説明、「犯人が悪用したのはWebアプリケーションの設定ミスであり、根底にあるクラウドベースインフラではなかった」と強調している。

　ただ、Capital OneがAWSのサービスを利用しているのは事実。米議会では上下両院の委員会がAmazonとCapital Oneに説明を求めるなど、クラウドに対しても厳しい目が向けられている。

　たとえ悪意はなかったとしても、AWSなどのクラウドサービスを巡っては、設定ミスが原因で、重要情報が誰にでもアクセスできる状態で露呈されている実態が相次いで指摘されてきた。

　Capital Oneのような金融機関を含め、企業は今、ITインフラのクラウド移行を加速させている。Wall Street Journalは「クラウド技術を採用した時点で、顧客の記録を守るための十分な安全対策を講じていたのかどうかが問われる」と解説、「容疑者がAmazonのクラウド事業部の従業員だったことは、インサイダーによる脅威のリスクを浮き彫りにした」とも指摘した。

　今回の事件では、Capital Oneの事後の対応を評価する声もあった。不祥事が起きてしまった場合の対応次第で、その会社に対する評判の低下に拍車をかけることもあれば、逆に好印象を与えることもある。とりあえずトップが並んで頭を下げておけばいいだろう、的な対応は日本以外の国ではほとんど見られない。