ウォーレン上院議員とワイデン上院議員は、キャピタル・ワンのデータ侵害におけるアマゾンの責任をFTCに調査するよう要請した。

モニカ・ニッケルズバーグ著2019年10月24日午前8時26分2019年10月24日午前10時34分

上院の民主党議員2人は、今年7月に1億人以上に影響を与えたキャピタル・ワンのデータ侵害へのアマゾンの関与を調査するよう連邦取引委員会に要請している。

オレゴン州選出のロン・ワイデン上院議員とマサチューセッツ州選出のエリザベス・ウォーレン上院議員は木曜日、FTC（連邦取引委員会）に書簡を送り、アマゾンの「サービスのセキュリティ確保の不備」が不公正な商慣行を禁じる連邦法に違反するかどうかの調査を求めた。書簡によると、アマゾンはセキュリティ上の脆弱性を認識しており、ハッカーはこれを悪用して近年、キャピタル・ワンのクレジットカードに申し込んだ数百万人の個人情報にアクセスしたという。

7月、シアトルのソフトウェアエンジニアがキャピタルワンのデータベースにハッキングを働いた容疑で逮捕された。これは大手金融サービスにおける史上最大の情報漏洩事件の一つである。

漏洩した情報の大部分は、2005年から2019年の間に提出されたクレジットカードの申込データで、氏名、住所、郵便番号、電話番号、メールアドレス、生年月日、自己申告の収入などが含まれていました。キャピタル・ワンによると、この侵害により約14万件の社会保障番号と8万件の銀行口座番号も流出しました。

ハッカーとされるペイジ・トンプソンは、シアトル在住のソフトウェアエンジニアで、以前はAmazonのクラウドコンピューティング部門であるAmazon Web Services（AWS）で勤務していました。トンプソンは8月に連邦検事局による有線通信詐欺およびコンピューター詐欺の容疑で無罪を主張し、現在裁判を待っています。

起訴状によると、ハッカーは「サーバーサイド・リクエスト・フォージェリ」（SSRF）と呼ばれる手法を用いて、クラウドサービスプロバイダーがホストするキャピタル・ワンのデータにアクセスした。トンプソン氏に対する起訴状にはプロバイダーの名前は挙がっていないが、キャピタル・ワンはアマゾンの顧客である。キャピタル・ワンの顧客は別の訴訟で、クラウドプロバイダーとしてアマゾン・ウェブ・サービス（AWS）を挙げている。

「AmazonはAWSがSSRF攻撃に対して脆弱であることを知っていた、あるいは知っているべきだった」と、ワイデン氏とウォーレン氏の書簡は述べている。「Amazonの競合他社は数年前からSSRF攻撃の脅威に対処してきたにもかかわらず、Amazonは依然として欠陥のあるクラウドコンピューティングサービスを企業、政府機関、そして一般消費者に販売し続けている。したがって、Capital Oneの顧客1億人のデータ盗難には、Amazonもある程度責任を負っている。」

最新情報：アマゾンの広報担当者は、この主張は「根拠がなく、日和見主義的な政治家による宣伝活動だ」と述べた。

「キャピタル・ワンが説明しているように、犯人はキャピタル・ワンのファイアウォールのアプリケーション層の設定ミスを攻撃しました」と彼は述べた。「このインシデントで使用されたSSRF技術は、犯人が同社のシステムにアクセスした後に実行した多くの手順の一つに過ぎず、既に獲得していたアクセスレベルを考えると、他の多くの手法に置き換えることもできたはずです。」

FTCはすでにアマゾンや他の大手テクノロジー企業がその優位性を利用して競争を阻害したかどうかを調べるために調査を開始している。

ウォーレン氏とワイデン氏は、巨大IT企業を頻繁に批判している。ウォーレン氏は、2020年の大統領選に向けて、業界の支配的企業を解体することを選挙公約に掲げている。