Capitaに1,400万ポンドの罰金、660万人の個人情報流出で
英国の情報コミッショナーオフィス(ICO)は、2023年に発生したデータ侵害事件に対し、データ駆動型ビジネスプロセスサービスプロバイダーであるCapitaに1,400万ポンド(約1870万ドル)の罰金を科しました。この侵害により、660万人もの個人情報が流出し、数百のCapitaクライアント、特に325の年金制度プロバイダーに影響が及びました。
事件の背景とCapitaの事業
Capitaは、英国を拠点とする大手アウトソーシングおよびプロフェッショナルサービス企業であり、地方議会、NHS、国防省、銀行、公益事業、電気通信などの分野にサービスを提供しています。従業員約34,000人、年間収益30億ポンドを誇り、主に英国とヨーロッパで事業を展開しています。
ICOは当初、4,500万ポンドというはるかに高額な罰金を課す予定でしたが、Capitaが責任を認め、重要なセキュリティ改善を実施し、影響を受けた個人にデータ保護サービスを提供したため、罰金を減額しました。最終的に、Capita plcには800万ポンド、Capita Pension Solutions Limitedには600万ポンドの罰金が科されました。
データ侵害の詳細:Black Bastaによる攻撃
2023年4月、Capitaはハッカーによる内部Microsoft 365環境へのアクセス試行を受け、一部システムがオフラインになったと発表しました。その3週間後には、ハッカーがCapitaの内部ITインフラの4%にアクセスし、侵害されたシステムにホストされていたプライベートファイルを流出させたことが確認されました。この攻撃は、Black Bastaランサムウェアグループが犯行声明を出し、身代金が支払われない場合は盗んだファイルを公開すると脅迫しました。
サイバー攻撃は2023年3月22日に発生し、Capitaの従業員が悪意のあるファイルをダウンロードしたことがきっかけで、ハッカーが同社の内部ネットワークにアクセスできるようになりました。ICOの調査によると、侵害は10分以内に検出されたものの、Capitaは感染したデバイスを隔離するまでに58時間も要したため、攻撃者はネットワーク内で横方向に移動し、機密データベースにアクセスする十分な時間を得ました。
ICOは次のように述べています。「このファイルにより、Capitaネットワークに悪意のあるソフトウェアが展開され、ハッカーはシステム内に留まり、管理者権限を獲得し、ネットワークの他の領域にアクセスできるようになりました。2023年3月29日から30日にかけて、約1テラバイトのデータが流出しました。3月31日には、Capitaシステムにランサムウェアが展開され、ハッカーはすべてのユーザーパスワードをリセットし、Capitaのスタッフがシステムやネットワークにアクセスできないようにしました。」
指摘されたセキュリティ対策の不備
Capitaは、以下のセキュリティ対策の不備により罰金を科されました。
- 不十分なアクセス制御:階層型管理者アカウントモデルの欠如。
- セキュリティアラートへの対応遅延:侵害検出後の対応が遅れたこと。
- 人員不足のセキュリティ運用センター(SOC):SOCの人員が不足していたこと。
- 定期的な侵入テストとリスク管理の欠如:これらの重要なセキュリティ演習が実施されていなかったこと。
Capitaの今後の対応
CapitaのCEOであるAdolfo Hernandez氏は、ICOとの和解を発表し、事件以来、同社のサイバーセキュリティ体制を強化するために多大な努力と投資が行われたことを強調しました。同氏はまた、罰金の支払いが以前発表された投資家向けガイダンスに影響を与えるとは予想していないと述べました。