2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery(SSRF)攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。
Capital Oneによる公式発表
- Information on the Capital One Cyber Incident(米国向け)
- Information on the Capital One Cyber Incident(カナダ向け)
- Frequently Asked Questions
(1)影響範囲
影響が及んだ人数の内訳は以下の通り。
米国 | 約1億人 |
---|---|
カナダ | 約600万人 |
- 発表時点でCapital Oneは流出した情報が外部へ出回ることや、詐欺への使用は確認していない。
- クレジットカード番号、ログイン情報は侵害されていない。
(2)外部へ流出した情報
- クレジットカードへの申し込みを行った消費者、および中小企業に関する情報。
- 2005年~2019年初めまでの間に収集された情報が対象。
- 氏名、住所、郵便番号、電話番号、メールアドレス、生年月日、年収(自己申告)が含まれる。
- 一部では以下の情報も含まれていた。
- カードのスコア、与信限度額、残高、支払い履歴、連絡先情報を含む顧客ステータス情報。
- 2016年、2017年、2018年の合計23日間のトランザクションデータの断片。
これに加え、米国、カナダでは次の情報が流出した。
社会保障番号 | アメリカ 約14万人 カナダ 約100万人 |
---|---|
銀行口座番号 | アメリカ 約8万件 |
インシデントタイムライン
日時 | 出来事 |
---|---|
2019年3月22日、23日 | Capital OneのAWS環境へ不正アクセスが発生。 |
2019年6月27日 | 女が自分のSlackチャンネルへ違法取得したDBとみられるリストを投稿。 |
2019年7月17日 | Capital Oneへデータリークに関する情報提供。 |
2019年7月19日 | Capital Oneが流出の事実を確認。 |
2019年7月29日 | FBIが不正アクセス事件関与の女を逮捕。 |
同日 | 米司法省が女の逮捕を発表。 |
2019年7月30日 | Capital Oneがインシデントを公表。 |
- 発端はCapital OneのResponsible Disclosure Programへの報告。
- 同社のS3 Bucketの情報がGithub上で公開されているとの指摘だった。
原因はWAF設定ミス
- Capital Oneが利用していたWAFに設定ミスが存在した。
- 問題が生じたWAFはApache Modsecurityを採用していた。AWS WAFではなく、Capital Oneが独自構築したもの。
- 設定ミスの詳細は明らかにされていない。
- 不正アクセス者は設定ミスを悪用し、WAFを介してAWS EC2のインスタンスメタデータへの接続に成功した。
- ModsecurityにはSSRF攻撃を検出するルールセットは既定(CRS)には含まれていない。
- AWSのインスタンスメタデータは接続に際して認証は行われない。
- KrebsOnSecurityが行った専門家(詳細を知る関係者を含む)へのインタビューに基づいたもの。
- AmazonはインスタンスメタデータやAWS WAFが原因との主張は不正確とコメントしている。
- SSRF攻撃の解説は徳丸さんの記事を参照。
AWSの軽減策
AmazonはKrebsOnSecurityに対し、以下のサービスを適用することで影響を軽減できると説明。
AWS IAM Access Advisor | 必要以上の権限を持つロールを特定することが可能。 |
---|---|
Amazon GuardDuty | 脅威となりえる潜在的スキャンや大量のデータ移動を検出、通知する機能。 |
AWS WAF | 今回問題となったSSRF攻撃も検出可能。 |
Amazon Macie | 機械学習による機密情報の分類、検出、および保護が可能。 |
事件関与の人物
- 逮捕、起訴されたのはワシントン州シアトル在住 ソフトウェアエンジニア 女 33歳。
- Amazon.comは摘発された人物が過去クラウド部門従業員であったことを確認。
- 当該人物とみられる経歴書によれば、2015年5月~2016年9月まで勤務。
- 流出したデータがAWSのS3に格納されていたとみられることからインサイダーの犯行と当初噂されていたことがあった。
逮捕までの経緯
- 女はSNS(Twitter)に頻繁にペットの猫の写真をアップロードしていた。
- VPNサービス(IPredator)、Torを介してAWSへの不正アクセスを行っていた。
- 獣医の手紙とともに自宅の住所を投稿していた。
- そこからFBIが女の居場所を特定したとみられる。
- TwitterアカウントやSlackのチャンネルは削除、停止の措置が取られている。
事件捜査の状況
- 女はComputer Fraud and Abuse(コンピュータに関する詐欺、濫用)の容疑で起訴されている。
- この事案の起訴状は司法省より公開されている。
- 有罪となった場合、最高5年間の懲役、及び25万ドルの罰金となる。
- 女がこの事件を起こした動機は不明。
- 検察側は女が窃取した情報を外部へ共有するつもりであったと主張している。
DBリストに他企業の名前
- 2019年6月27日に女が投稿したデータベースリストにCapital One以外の組織とみられるものが含まれていた。
- これらを合計すると485GB。
- 起訴状等から「ISRM-WAF-Role.tar.xz」がCapital Oneの流出データとみられる。
- リスト中のInfoBloxはKrebsOnSecurityからの問い合わせに対し現時点で侵害の兆候は見られないと回答。
ファイル名 | ファイル名から類推される組織 |
---|---|
42lines.net.tar.xz | 42 Lines |
ISRM-WAF-Role.tar.xz | Capital One |
Rotate_Access_key.tar.xz | - |
apperian.tar.xz | Apperian |
apperian2.tar.xz | Apperian |
astem.tar.xz | Astem.net |
cicd-instance.tar.xz | - |
code_deploy_role.tar.xz | - |
ec2_s3_role.tar.xz | - |
ecs.tar.xz | - |
ford.tar.xz | Ford |
fuckup.tar.xz | - |
globalgarner.tar.xz | globalgarner.com |
hslonboarding-prod-backup1.tar.xz | - |
indentiphy.img | - |
infobloxcto.tar.xz | InfoBlox |
iwcodeacademy.tar.xz | Codecademy |
s3_logrotate_role.tar.xz | - |
safesocial.tar.xz | safesocial.media |
service_devops.tar.xz | - |
starofservice.tar.xz | StarOfService S.A.S |
(KrebsOnSecurityに掲載された投稿リストより)
関連情報・記事
- https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Request%20Forgery
- https://ejj.io/blog/capital-one
- https://blog.appsecco.com/an-ssrf-privileged-aws-keys-and-the-capital-one-breach-4c3c2cded3af
- https://medium.com/@ravi.ivat/capital-one-security-incident-key-lessons-so-far-anyway-d90a931da928
更新履歴
- 2019年8月6日 AM 新規作成