Capital One 情報漏洩事件（2019年・米国）

1. 事件の概要

2019年、米国の大手金融会社Capital Oneで、約1億600万人分という大規模な個人情報漏洩が発覚しました。原因は外部からの高度なハッキングというより、クラウドの「設定ミス（設定不備）」でした。攻撃者は、その設定の穴を突いて、クラウド上に保管されていた大量の個人情報を読み出していました。

近年、企業の多くがAWS（アマゾン）やMicrosoft Azure、Google Cloudといったクラウドサービスにデータを預けています。クラウド自体は堅牢ですが、「どう設定して使うか」は利用者側の責任です。この事件は、クラウドの設定一つで巨大な漏洩が起きることを世界に知らしめた象徴的なケースになりました。

2. 被害の内容と規模

漏洩したのは米国とカナダの約1億600万人分の個人情報で、クレジットカードの申込みに関する情報が中心でした。氏名・住所・電話番号・生年月日・収入などに加え、一部には社会保障番号（米国の重要な個人番号）や銀行口座番号も含まれており、なりすましや不正利用に直結しうる深刻な内容でした。

主な影響

• 当局による調査と、巨額の制裁金・和解金が科された。
• 顧客への通知、信用監視サービスの提供など、多大な事後対応コストが発生。
• 「クラウドは安全」という思い込みへの警鐘となり、各社がクラウド設定の総点検を迫られた。
• 不正アクセスを行った人物は逮捕・訴追された。

3. 原因と手口

技術的な原因（やさしく解説）

• 防御機器（WAF）の設定ミス：Webへの攻撃を防ぐための機器の設定に不備があり、攻撃者がその機器を“踏み台”にして内部に問い合わせを送り込めてしまった（SSRFと呼ばれる手口）。
• 権限が広すぎた：その機器に与えられていたクラウド上の権限が必要以上に大きく、本来触れないはずのデータ保管領域（ストレージ）まで読み出せてしまった。
• 大量データの読み出しを検知できなかった：普段と違う大量のアクセスがあっても、すぐに気づける監視体制が十分でなかった。

根本にある考え方の問題

• 最小権限になっていなかった：「必要な分だけの権限」に絞れておらず、ひとつの穴が大被害に直結した。
• 設定の点検不足：クラウドは設定項目が多く複雑。定期的に「危ない設定が残っていないか」を点検する仕組みが弱かった。

4. 対策と教訓

中小企業もクラウド（ファイル共有、業務システム、ECなど）を使うのが当たり前になりました。この事件の教訓は、規模を問わず役立ちます。

クラウドを使うときの対策

• 公開設定を点検する：クラウド上のデータ保管領域（ストレージ）が「誰でも見られる」状態になっていないか確認する。
• 権限は最小限にする：各サービス・各担当者に「必要な分だけ」の権限を与える（最小権限の原則）。
• 多要素認証（MFA）を必須にする：管理者アカウントは特に厳重に守る。
• 異常なアクセスに気づける仕組みを持つ：普段と違う大量アクセスやログイン失敗を検知・通知する。
• 定期的に設定を見直す：導入時に正しくても、運用の中で危ない設定が増えがち。棚卸しを習慣にする。
• 「責任共有モデル」を理解する：クラウド事業者任せにせず、自社が守る範囲を把握する。

5. まとめ

Capital One事件は、「高度な攻撃」ではなく「設定ミスと権限の与えすぎ」という、誰にでも起こりうる原因で巨大な漏洩が発生した点に教訓があります。クラウドは便利で堅牢ですが、安全に使えるかは設定次第です。公開設定の点検・最小権限・多要素認証——この基本を押さえることが、クラウド時代の情報を守る第一歩です。