Ipad

アマゾンとキャピタルワン、1億600万人の顧客に影響した大規模ハッキングで法的反発に直面

アマゾンとキャピタルワン、1億600万人の顧客に影響した大規模ハッキングで法的反発に直面
(ビッグストックフォト)

1億600万人以上に影響を与えたハッキン​​グ事件を受け、憤慨した顧客グループが今週、キャピタル・ワンを相手取って訴訟を起こした。そして、訴訟はそこで終わらない。グループはキャピタル・ワンのクラウドプロバイダーであるAmazon Web Services(AWS)も名指しし、このテクノロジー大手も今回の侵害に関与していると主張している。

このハッキングは複数の訴訟に発展し、プライバシーとセキュリティをめぐる議論の新たな火種となっています。この攻撃を受けて、キャピタル・ワンのような企業を支えるテクノロジープロバイダーも責任を問われるべきかどうかという疑問が生じています。先週カリフォルニア州で提起された同様の訴訟では、コードリポジトリであるGitHubが、ウェブサイト上のハッキングされたデータの監視と対応を怠ったとして、訴訟に巻き込まれました。

今週シアトルの連邦裁判所に提起されたこの新たな訴訟は、アマゾンを被告としている点で特異な訴訟です。訴訟では、シアトル在住のエンジニア、ペイジ・トンプソン氏が攻撃に利用したとされる脆弱性をアマゾンが認識していたにもかかわらず、「修正に何ら努めなかった」と主張しています。攻撃者は元AWS社員で、設定ミスのあるウェブアプリケーションファイアウォールにハッキングを行いました。

訴状によると、「あらゆるEC2システム上のAWS認証情報を漏洩させる1行のコマンドはAWSでも知られており、実際にオンラインドキュメントにも記載されています。ハッカーの間でもよく知られています。」

私たちはAmazonとCapital Oneに連絡を取っており、返答があればこの投稿を更新します。

訴訟では、両社が侵害を知った時点で公表しなかったと主張している。キャピタル・ワンによると、ハッキングは3月22日と23日に発生した。しかし、同社が情報開示を知ったのは7月17日。倫理的なセキュリティ研究者と呼ばれるGitHubユーザーが、トンプソン氏がコードサイトに投稿した盗難に関する投稿を報告した後のことだ。そして2日後の7月19日、FBIに通報された。

提案されている集団訴訟には、8つの州とケンタッキー州の非営利団体の原告が参加しており、両社が過失を犯し、ワシントン州の消費者保護法とデータ侵害開示法に違反したと主張している。

バッファロー大学法学部のサイバー法教授マーク・バーソロミュー氏はヤフーファイナンスに対し、キャピタルワンの迅速な対応と、トンプソン氏がハッキングで得た情報を使って不正行為をしていないとの報道が、両社に対して起こされている様々な訴訟に悪影響を与える可能性があると語った。

バーソロミュー氏はまた、アマゾンのようなインフラプロバイダーは、通常このようなケースでは責任を負わないとし、アマゾンとキャピタル・ワンは、情報漏洩が発生した場合に銀行に責任を負わせる契約を結んでいた可能性が高いと付け加えた。

今週初め、オレゴン州選出のロン・ワイデン上院議員は、AmazonのCEOであるジェフ・ベゾス氏に書簡を送り、ハッキングの実態と、同社のクラウドサービスの脆弱性がハッキングに何らかの影響を与えたかどうかについて質問した。適切な設定はクラウド利用者の責任だが、ワイデン議員は、この脆弱性がAmazon Web Servicesのクライアントを定期的に危険にさらしているかどうかを調査したいと考えている。

「大企業が設定ミスによって1億人のアメリカ人のデータを失えば、当然のことながら、その企業のサイバーセキュリティ対策に注目が集まります」とワイデン議員の書簡は述べている。「しかし、複数の組織が同様の設定ミスを犯した場合、基盤となる技術をより安全にする必要があるのか​​、そしてそれを開発した企業が情報漏洩の責任を共有しているのかを問うべき時が来ています。」

キャピタル・ワンは以前、「この種の脆弱性はクラウドに特有のものではありません。関連するインフラストラクチャの要素は、クラウド環境とオンプレミスのデータセンター環境の両方に共通しています」と述べていました。

トンプソン容疑者は、キャピタル・ワンのデータベースにハッキングを行い、約14万件の社会保障番号と8万件の銀行口座番号にアクセスした罪で起訴されています。トンプソン容疑者は先月、このハッキングで逮捕されました。このハッキングは、大手金融サービスにおける過去最大規模の情報漏洩の一つであり、米国で1億人、カナダで600万人に影響を与えました。

漏洩した情報の大部分は、2005年から2019年の間に提出されたクレジットカード申請データで、氏名、住所、郵便番号、電話番号、メールアドレス、生年月日、自己申告の収入などが含まれていました。信用スコア情報、支払い履歴、取引データ、連絡先情報なども取得されました。

キャピタル・ワンは情報開示時に、「この人物が詐欺に利用したり、情報を拡散したりする可能性は低い」と述べた。クレジットカードの口座番号やログイン情報は漏洩していない。このインシデントにより、同社は顧客への通知、信用情報監視、技術費用、法的サポートなどを含め、今年1億~1億5000万ドルの損失を被る見込みだ。

ウォール・ストリート・ジャーナルは、トンプソン氏が重要な認証情報を保持するAmazonのメタデータサービスに侵入したと報じた。その後、トンプソン氏は社内ネットワークにアクセスするために脆弱なコンピュータを探し、「正面玄関をノックしてロックされていないコンピュータを探す」とWSJは報じ、キャピタル・ワンの設定ミスを発見した。

訴状では、トンプソン氏がAWSの脆弱性を悪用してミシガン州立大学、オハイオ州運輸局、イタリアの銀行ウニクレディトSpA、フォードを含む他の組織をハッキングしたかどうかを調査したフォーブスの記事を引用している。

完全なスーツは次のとおりです。

ScribdのNat LevyによるCapital OneとAmazonに対する集団訴訟