piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた

2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery(SSRF)攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。

Capital Oneによる公式発表

(1)影響範囲

影響が及んだ人数の内訳は以下の通り。

米国 約1億人
カナダ 約600万人
  • 発表時点でCapital Oneは流出した情報が外部へ出回ることや、詐欺への使用は確認していない。
  • クレジットカード番号、ログイン情報は侵害されていない。
(2)外部へ流出した情報
  • クレジットカードへの申し込みを行った消費者、および中小企業に関する情報。
  • 2005年~2019年初めまでの間に収集された情報が対象。
  • 氏名、住所、郵便番号、電話番号、メールアドレス、生年月日、年収(自己申告)が含まれる。
  • 一部では以下の情報も含まれていた。
    • カードのスコア、与信限度額、残高、支払い履歴、連絡先情報を含む顧客ステータス情報。
    • 2016年、2017年、2018年の合計23日間のトランザクションデータの断片。

これに加え、米国、カナダでは次の情報が流出した。

社会保障番号 アメリカ 約14万人
カナダ 約100万人
銀行口座番号 アメリカ 約8万件

インシデントタイムライン

日時 出来事
2019年3月22日、23日 Capital OneのAWS環境へ不正アクセスが発生。
2019年6月27日 女が自分のSlackチャンネルへ違法取得したDBとみられるリストを投稿。
2019年7月17日 Capital Oneへデータリークに関する情報提供。
2019年7月19日 Capital Oneが流出の事実を確認。
2019年7月29日 FBIが不正アクセス事件関与の女を逮捕。
同日 米司法省が女の逮捕を発表。
2019年7月30日 Capital Oneがインシデントを公表。

原因はWAF設定ミス

f:id:piyokango:20190806055240p:plain

事件関与の人物

  • 逮捕、起訴されたのはワシントン州シアトル在住 ソフトウェアエンジニア 女 33歳。
  • Amazon.comは摘発された人物が過去クラウド部門従業員であったことを確認。
  • 当該人物とみられる経歴書によれば、2015年5月~2016年9月まで勤務。
  • 流出したデータがAWSのS3に格納されていたとみられることからインサイダーの犯行と当初噂されていたことがあった。
逮捕までの経緯

f:id:piyokango:20190806045137p:plain
(女が特定された背景)

  • 女はSNS(Twitter)に頻繁にペットの猫の写真をアップロードしていた。
  • VPNサービス(IPredator)、Torを介してAWSへの不正アクセスを行っていた。
  • 獣医の手紙とともに自宅の住所を投稿していた。
  • そこからFBIが女の居場所を特定したとみられる。
  • TwitterアカウントやSlackのチャンネルは削除、停止の措置が取られている。

f:id:piyokango:20190806045421p:plain

事件捜査の状況
  • 女はComputer Fraud and Abuse(コンピュータに関する詐欺、濫用)の容疑で起訴されている。
  • この事案の起訴状は司法省より公開されている。
  • 有罪となった場合、最高5年間の懲役、及び25万ドルの罰金となる。
  • 女がこの事件を起こした動機は不明。
  • 検察側は女が窃取した情報を外部へ共有するつもりであったと主張している。
DBリストに他企業の名前
  • 2019年6月27日に女が投稿したデータベースリストにCapital One以外の組織とみられるものが含まれていた。
  • これらを合計すると485GB。
  • 起訴状等から「ISRM-WAF-Role.tar.xz」がCapital Oneの流出データとみられる。
  • リスト中のInfoBloxはKrebsOnSecurityからの問い合わせに対し現時点で侵害の兆候は見られないと回答。
ファイル名 ファイル名から類推される組織
42lines.net.tar.xz 42 Lines
ISRM-WAF-Role.tar.xz Capital One
Rotate_Access_key.tar.xz
apperian.tar.xz Apperian
apperian2.tar.xz Apperian
astem.tar.xz Astem.net
cicd-instance.tar.xz
code_deploy_role.tar.xz
ec2_s3_role.tar.xz
ecs.tar.xz
ford.tar.xz Ford
fuckup.tar.xz
globalgarner.tar.xz globalgarner.com
hslonboarding-prod-backup1.tar.xz
indentiphy.img
infobloxcto.tar.xz InfoBlox
iwcodeacademy.tar.xz Codecademy
s3_logrotate_role.tar.xz
safesocial.tar.xz safesocial.media
service_devops.tar.xz
starofservice.tar.xz StarOfService S.A.S

(KrebsOnSecurityに掲載された投稿リストより)

更新履歴

  • 2019年8月6日 AM 新規作成