米大手銀行から1億人分の個人データが漏洩、元Amazon従業員が容疑者として拘束される 39
ストーリー by hylom
詳細を待ちたい 部門より
詳細を待ちたい 部門より
Anonymous Coward曰く、
米大手金融機関Capital One Financialで、不正アクセスによる大規模な個人情報漏洩事件が発生した。漏洩件数は1億600万件にも上り、大手銀行による情報漏洩事件としては過去最大規模だという(日経新聞、TechCrunch、Bloomberg、Reuters)。
容疑者はすでにFBIに拘束されているとのこと。漏洩したデータは米Amazon Web Services(AWS)のクラウドサービスである「Amazon S3」上に保管されていたものだったという。この容疑者は米Amazon.comの元従業員都のことだが、AWSはAWSのシステムを狙った攻撃やAWSの脆弱性によるものではないと述べている。
「AWSのシステムを狙った攻撃やAWSの脆弱性によるものではない」 (スコア:4, すばらしい洞察)
人的セキュリティホールってのも立派なシステム脆弱性だと思うのですが
#こんなこと言われても「じゃあそういう従業員を雇うような会社なのか」「辞めたあとに報復?されるような待遇なのか」って思われるだけでは
Re:「AWSのシステムを狙った攻撃やAWSの脆弱性によるものではない」 (スコア:1)
Capital OneがAmazon S3の設定をミスって全公開にしていたのが原因なので、AWSの脆弱性でもないし、容疑者が元AWS従業員であることも本質的には関係ないということ
Re:「AWSのシステムを狙った攻撃やAWSの脆弱性によるものではない」 (スコア:1)
この容疑者、ミス設定があることをどうやって知ったのだろう?外からの攻撃でわかったのなら、もっと被害が出ていそうなものだが、そうでないなら、内部にいる人間にはミス設定サイト一覧を得るのは朝飯前なのかな?
Re:「AWSのシステムを狙った攻撃やAWSの脆弱性によるものではない」 (スコア:1)
「site:amazonaws.com」「site:リージョンサーバー名.aws.amazon.com」で検索してみ、ダウンロード販売ややばい個人情報データも含めていろんなファイル見れるから
公開設定になってるとアマゾン側はサーバーの全ファイルのインデックス返してそれをGoogleがクロールしちゃう。この辺の対策何もやってないわけですよ。
各自が非公開にするかrobots.txt作って弾けば解決する話ではあるが。
Re: (スコア:0)
そういう仕様ですと言われればそれまでのような。
ちなみにS3のバケットを検索するなら「site:s3.amazonaws.com」だと思う。
Re:「AWSのシステムを狙った攻撃やAWSの脆弱性によるものではない」 (スコア:1)
20年前「"index of" and (タイトル)」で検索して、何処かの公開サーバーにあるmp3や映画mpegを探してた時から
アクセス権の設定不足による情報流出は何も進歩してない
ftpサーバーがクラウドに移っただけだ
Re: (スコア:0)
そのうち思想調査とか必須になってくるのか・・・
何をしたら(何を基準としたら)そういうのクリアできるんだろうね
Re:「AWSのシステムを狙った攻撃やAWSの脆弱性によるものではない」 (スコア:2, 参考になる)
昔の日本の地方銀行などは良家の子女限定って処があったらしいです。
まともな金融機関だとサラ金で一回でも借りたことがあると駄目だという噂もありましたね。
要は金に困ったことがあるような人間に大金を扱わせるのは怖い。
Re: (スコア:0)
信用金庫で働いていた妹曰く、「やらかしても回収できる可能性が高い」ってのも大きいらしいよ。
Re: (スコア:0)
そのうち思想調査とか必須になってくるのか・・・
何をしたら(何を基準としたら)そういうのクリアできるんだろうね
・運用担当従業員のキータッチをすべて記録・監視して業務以外の動きをしたら拘束する
・上記の監視員についても独立監視員を配置し2重チェックを行い客観性を担保する
・運用担当従業員に視線を記録する眼鏡をつけるように契約を結ばせ以下、同上
・入室/退室時に全裸にしてケ○の穴まで検査してデータ持ち出しがないか調べる
・不定期的に異性もしくは同性の好みのエージェントと出会いをもたせ、誘惑に負けるかどうか検査する。なお「合体」に至る前に接触は切断する
・不定期的に家族を誘拐し、以下同上
・不定期に本人を拘束し、尋問対策訓練を実行する
これで情報漏洩しない従業員で構成される会社だったら信頼できるんじゃないでしょうか
労基的に生き残れないでしょうけど
Re: (スコア:0)
合体に至る前に切断するって、くノ一みたいだな―
#もう帰りたい。
Re: (スコア:0)
その手の対策としては例えば「単独で扱わせない」ってノウハウがはるか昔からありますよね。
他にも作業のログとかも当然、「作業者が必ずしも信用できるとは限らない」ってのは考慮の内です。
Re: (スコア:0)
AWSじゃなくて銀行の人的セキュリティホールですね。
AWSは金庫と鍵を用意しただけ、借りた銀行が金庫と鍵を使っていたが、ある日、銀行員がその正規の鍵を使って金庫を開けて中身を盗んだ。
金庫屋に出来た対策を考えてみるのも良いとは思うけれど。
Re: (スコア:0)
そのたとえ話って今回の件となんか関係あるの?
Re: (スコア:0)
例え話に例え話で返して「関係あんの」って返して意味あんの?
Re: (スコア:0)
簡単に言うと「お前なに言ってんの?」ですかね。
capital oneの設定ミスって話があるので、「銀行の人的セキュリティホール」てのは良いのですが、その後のズレた例え話の意味が分からないって事かと。
例え話?を今回の事件をに合わせるなら「借りた銀行は金庫に鍵をかけずに使ってて、ある日、金庫屋の元社員(3年前に退職)が銀行が借りてた金庫から中身を盗んだ。」かな。
そもそも人的セキュリティホールは例え話じゃないような?
金庫云々も犯人が違うし、例えてないような?
Re: (スコア:0)
一般的に、内部犯行は、企業の内部統制、ガバナンスの欠如と解される。
物理・ITに依らず、重要な施設の運用・操作では、日常的に、カメラでの監視(作業者の監視のためね。
ITなら監査ログの日常的分析)とか、違反行動への警報発報導入は当然だし、
究極的には操作する担当者の身辺調査導入も「対策」の範疇に入る。
心理・信条・家計状況に関する調査やアンケートをクリアしないと特定の業務には就かせない、とかね。
再発防止策では、当然、そういった傾向の社員を雇用しないよう、雇用時の身辺調査などが強化される。
SNSや趣味での活動状況など、ね。
あと、架空話持ち出すまでもなく、実在の話で例えればいい。
Re: (スコア:0)
容疑者としてAWSの元従業員が拘束されたとありますよ。
導入した金庫の中の小人さんが勝手に盗み出した訳で、そんなのが金庫に住み着いていたなんて銀行側にとっちゃ寝耳に水でしょう。
銀行員さんは悪くないと思うのです。
Re: (スコア:0)
被害を受けた側の公式発表に、「我々は問題を修正し」とあるので、人的セキュリティホールではないよ。
原文:"What we've done\n\nCapital One immediately fixed the issue and promptly began working with federal law enforcement. "
#1行にまとめたかったので改行コード使っちゃったけど、読めるよね
Re: (スコア:0)
fixedって人的セキュリティホールで公開設定にしてあったのを非公開にしただけだろ
違うん?
Re: (スコア:0)
AWS使ってる時点でセキュリティについては察し。
Re: (スコア:0)
顧客からすればそれらを含めたサービスを購入してんだから、分ける事には意味が無い。
全てひっくるめて「AWSのサービスのセキュリティホール」だわ。
AWSのシステムの脆弱性で無かったとしてもね。
Re: (スコア:0)
穴を見つけたらデータを抜く様な奴が運用側に居るってのは、AWSのセキュリティホールでも有るだろ。
標準手順 (スコア:2, 参考になる)
某銀行と政府系だと、
・操作端末一台に複数の大き目のモニター(21インチ以上)が接続されていて、
最低、ログイン役1名(この人しかログインIDとバワードを知らない、他の人達
はログイン操作を見ないように背を向ける)と、
操作実施役1名+手順書指示役1名+手順確認役1名が座席について、
一つの作業毎に手順書の記載やモニター表示部分を指差し確認しながら声を
出して一コマンド毎に作業を実施。
・勿論、手順書(戻し作業手順含む)を事前にレビューして上の承認必須。
・手順書記載以外の作業が発生する可能性が発生して場合は、即、戻し作業実施。
・勿論、どうしてこうなった始末書系書類をたくさん作成させられて関係者全員に
ごめんなさい。
再度手順書を直してレビューして再承認。
・重要な作業の場合は、操作端末周辺に別途大型モニターを用意して、エロい人達が
五、六人以上リアル観戦する(走召糸色木亥火暴)
ホントに現実なのでツラ過ぎ(コスト無視)
"castigat ridendo mores" "Saxum volutum non obducitur musco"
Re:標準手順 (スコア:1)
万一トラブルが起きた場合に発生するコストと比較した結果こういう運用ならば、コスト無視ではないのでは?
-- To be sincere...
AWSの脆弱性 (スコア:0)
設定が複雑すぎて脆弱な部分が出来ているのに気が付かないとか良くあるらしいし、
またクラウドから部分的にオンプレ環境に戻る流れも出てくるかもね
Re: (スコア:0)
その問題が、オンプレにしたからって解決されるとは思えないのだけど……。
Re: (スコア:0)
設定ミスっても、いきなり最悪なことにならないようなシステムにするのは普通かと
それに慣れて、あんまり理解せずになんとなく使う習慣があるのかも知れんがw
個人情報のあるファイルをグループで共有しようとして世界中に公開してしまった教師とかいたし
まぁ生徒の個人情報なんて職員室に散らばって落ちてたりするかも知れんがww
もっと重要な情報扱ってる場合は、利便性犠牲にしても守るべきかと
最近は誤植(誤変換)を探すのが楽しみになってきた (スコア:0)
Re: (スコア:0)
犯人はミヤコ
Re: (スコア:0)
〽はんこぉ~
Re: (スコア:0)
名前で検索すると確かに女性のような画像がいっぱい出てくるんですが(よくわかってない
Re: (スコア:0)
日系人なのか日本人なのか…。
漢字で書いて居るのだから日本人なのかな。
#とどうでも良い方向にのみ考察してみる。
まだまだ (スコア:0)
住所でポン!は述べ6億人以上だからな
日本だったらどうだろう (スコア:0)
仮に日本の銀行が委託している日本のサービスプロバイダーでこんな事が起きたらどうなるだろう。
個人情報漏洩させると(漏洩した件数や情報にもよるけど)、マスコミはまるで人を殺したかのような叩き方するからねぇ。
それと、個人情報保護法や、ISO27001では、委託先の管理義務が委託元にはあると思ったけど、
こういう場合は銀行側ってなんか責任問われるのかな?金融庁はどうするんだろ?
銀行側で再発防止策って言われてもねぇ、何あるだろ?
Re: (スコア:0)
>個人情報漏洩させると(漏洩した件数や情報にもよるけど)、マスコミはまるで人を殺したかのような叩き方するからねぇ。
過去事例を思い出すと、マスコミよりネット民の方がそりゃもう狂った様に叩いて居た様に思えるのだけども。
てか、最近の事例だとマスコミなんて件数出して「大変ですね」程度でおしまいじゃない?
それすらなく件数だけってのも見た覚えがあるぞ。
Re: (スコア:0)
日本の刑法は経済犯・情報犯に対して大甘。
タイトル (スコア:0)
スラドはあたかも元Amazon従業員であることが犯行と関係あるかのようなタイトルにしてるのな。4ソースはどれもそのようなタイトルになってないのに、、クソメディア?
Re: (スコア:0)
ちゃうねん、タレコミ時点では犯行の詳細が分かってなくて、元Amazon従業員とは報じられてても、内部犯なのかとか手口はとかも全然わからなかったんや。
で、上の例え話に例えると、
「A社の金庫には、鍵をカチッって言うまで締めないと開いちゃう、って仕様があって、C社がきちんと締めてないのに気付いたA社の元社員が金庫の中身を盗んだ」
って事件かな。金庫の不具合ではないし、A社の責任でもないけど、C社や第三者からするとA社の元社員だから詳しかったんだ、という見方も出来る。
元従業員だけどそれは犯行とは100%関係ありません、とは言い切れない気もする。