AWSへのハッキングで1億人以上の個人情報を盗んだ元AWSエンジニアに有罪判決

Amazon Web Services(AWS)の元エンジニアだったペイジ・トンプソン被告が顧客のクラウドストレージにハッキングし、アメリカ金融サービス大手のCapital Oneの個人情報大量漏洩を招いた罪で、有罪判決を受けました。記事作成時点では具体的な量刑についてはまだ判決が下されていませんが、トンプソン被告は最大で20年の懲役刑を科されるとみられます。

Former Seattle tech worker convicted of wire fraud and computer intrusions | USAO-WDWA | Department of Justice
https://www.justice.gov/usao-wdwa/pr/former-seattle-tech-worker-convicted-wire-fraud-and-computer-intrusions

Ex-Amazon Worker Convicted in Capital One Hacking - The New York Times
https://www.nytimes.com/2022/06/17/technology/paige-thompson-capital-one-hack.html

Former Amazon employee convicted over 2019 Capital One hack - The Verge
https://www.theverge.com/2022/6/18/23173727/former-amazon-employee-convicted-over-2019-capital-one-hack-paige-thompson

トンプソン被告にはコンピューターへの不正アクセス5件のほか、通信詐欺と保護されたコンピューターへの損傷の疑いがかけられていました。検察によると、トンプソン被告は2019年にAWSのアカウントをスキャンするためのツールを開発し、サーバーでファイアウォールの設定をミスしているアカウントを捜索し、Capital Oneをはじめとする30以上の企業のデータをハッキングしてダウンロードしたとのこと。

by Phillip Pessar

このハッキングはサーバーにおけるファイアウォールの設定ミスを突いたもので、盗まれた情報の中にはクレジットカードの情報のほかに利用者の氏名・住所・電話番号・メールアドレス・生年月日・年収・限度額・支払履歴などが含まれていました。

さらにトンプソン被告は、サーバーに仮想通貨のマイニングソフトを仕込み、その収入を自分のウォレットに送金させていたそうです。トンプソン被告は自身の犯行を自慢するような内容をGitHubに投稿。それを見たGitHubユーザーからの通報を受け、トンプソン被告は2019年7月に逮捕されました。

検事のニック・ブラウン氏は「トンプソン被告は自身のハッキングスキルを使って1億人以上の個人情報を盗み、さらにコンピューターサーバーを乗っ取って仮想通貨をマイニングしました。企業のコンピューターセキュリティを守ろうとする倫理的なハッカーなどではなく、彼女はミスを悪用して貴重な情報を盗み、自分の懐を肥やそうとしました」と述べました。

通信詐欺には最大20年の懲役、保護されたコンピューターへの不正アクセスや損傷にはそれぞれ最大5年の懲役が科されます。最終的にどういった刑が科されるのかについては、2022年9月15日に判決が下される予定です。

なお、Capital Oneは8000万ドル(約108億円)の罰金を科され、訴訟を起こした顧客には合計1億9000万ドル(約257億円)の和解金を支払っています。