英国Capita、大規模データ侵害で1,400万ポンドの罰金
英国の情報コミッショナーオフィス(ICO)は、データ駆動型ビジネスプロセスサービスプロバイダーであるCapitaに対し、2023年に発生したデータ侵害事件で1,400万ポンド(約27億円)の罰金を科しました。この侵害により、660万人もの個人情報が流出し、英国の年金制度プロバイダー325社を含む数百のCapitaクライアントに影響が及びました。
データ侵害の経緯と攻撃の詳細
サイバー攻撃は2023年3月22日に発生しました。Capitaの従業員が悪意のあるファイルをダウンロードしたことが発端となり、ハッカーは同社の内部ネットワークへのアクセス権を獲得しました。ICOの調査によると、侵害は10分以内に検出されたものの、Capitaは感染したデバイスを隔離するまでに58時間も要したとされています。この間に攻撃者はネットワーク内で横展開し、機密データベースにアクセスする十分な時間を確保しました。
2023年3月29日から30日にかけて、約1テラバイトのデータが窃取されました。その後、3月31日にはランサムウェアがCapitaのシステムに展開され、すべてのユーザーパスワードがリセットされ、従業員はシステムへのアクセスを妨げられました。この攻撃は、悪名高いBlack Bastaランサムウェアグループが犯行声明を出しています。
ICOが指摘するCapitaの過失
ICOは、Capitaが以下の点で不十分なセキュリティ対策を講じていたと指摘しています。
- 不十分なアクセス制御:階層型管理者アカウントモデルの欠如。
- セキュリティアラートへの対応遅延:侵害検出後の対応の遅さ。
- 人員不足のセキュリティ運用センター:セキュリティ運用センターの人員が不足していたこと。
- 定期的な侵入テストとリスク管理の怠慢:定期的なペネトレーションテストやリスク管理演習の実施不足。
当初、ICOは4,500万ポンドというさらに高額な罰金を検討していましたが、Capitaが責任を認め、重要なセキュリティ改善を実施し、影響を受けた個人にデータ保護サービスを提供したことを受けて、罰金額を減額しました。最終的に、Capita plcには800万ポンド、Capita Pension Solutions Limitedには600万ポンドの罰金が科されました。
Capitaの対応と今後の影響
CapitaのCEOであるアドルフ・ヘルナンデス氏は、ICOとの和解を発表し、事件以降、同社のサイバーセキュリティ体制強化に多大な努力と投資が行われたことを強調しました。また、今回の罰金支払いが、以前発表された投資家向けガイダンスに影響を与えることはないと述べています。
この事件は、企業が迅速なインシデント対応計画と堅牢なセキュリティ対策を講じることの重要性を改めて浮き彫りにしました。特に、初期侵害の検出から隔離までの時間の短縮は、被害を最小限に抑える上で極めて重要です。