Capitaに1,400万ポンドの罰金、660万人のデータ流出で
英国の情報コミッショナーオフィス(ICO)は、2023年に発生したデータ侵害により、660万人の個人情報が流出したとして、データ駆動型ビジネスプロセスサービスプロバイダーであるCapitaに対し、1,400万ポンド(約18.7百万ドル)の罰金を科しました。当初、ICOは4,500万ポンドというはるかに高額な罰金を課す予定でしたが、同社が責任を認め、重要なセキュリティ改善を実施し、影響を受けた個人にデータ保護サービスを提供したため、減額されました。
この罰金は、Capita plcに800万ポンド、Capita Pension Solutions Limitedに600万ポンドが科せられました。
Capitaとは
Capitaは、英国を拠点とする大手アウトソーシングおよびプロフェッショナルサービス企業であり、地方議会、NHS(国民保健サービス)、国防省、銀行、公益事業、電気通信などの組織にコンサルティング、デジタル、ソフトウェアサービスを提供しています。約34,000人の従業員を擁し、年間収益は30億ポンドに達し、主に英国とヨーロッパに顧客を持っています。
データ侵害の詳細
2023年4月、Capitaは、内部のMicrosoft 365環境へのハッカーによるアクセス試行があったことを発表し、対応の一環として一部のシステムをオフラインにせざるを得ませんでした。その3週間後には、ハッカーがCapitaの内部ITインフラの4%にアクセスし、侵害されたシステムにホストされていたプライベートファイルを流出させていたことが確認されました。この攻撃は、Black Bastaランサムウェアグループが犯行声明を出し、身代金が支払われない場合は盗んだファイルをすべて公開すると脅迫しました。
ICOの調査により、このデータ侵害は660万人に影響を与え、英国の325の年金制度プロバイダーを含む数百のCapitaの顧客に及んだことが確認されています。
攻撃経路と対応の遅れ
サイバー攻撃は2023年3月22日に発生しました。Capitaの従業員が悪意のあるファイルをダウンロードしたことが原因で、ハッカーが同社の内部ネットワークにアクセスできるようになりました。ICOは、侵害が10分以内に検出されたにもかかわらず、Capitaが感染したデバイスを隔離するまでに58時間を要したと指摘しています。この遅れが、攻撃者がネットワーク内で横方向に移動し、拡散し、機密データベースにアクセスする十分な時間を与えました。
- 3月29日から30日にかけて、約1テラバイトのデータが流出しました。
- 3月31日には、Capitaのシステムにランサムウェアが展開され、すべてのユーザーパスワードがリセットされ、Capitaの従業員がシステムやネットワークにアクセスできなくなりました。
罰金の主な理由
ICOは、Capitaが以下の点で不備があったと結論付けました。
- 不十分なアクセス制御(階層型管理者アカウントモデルの欠如)
- セキュリティアラートへの対応の遅れ
- 人員不足のセキュリティオペレーションセンター
- 定期的な侵入テストとリスク管理演習の実施不足
Capitaの対応と今後の展望
CapitaのCEOであるアドルフ・ヘルナンデス氏は、ICOとの和解を発表し、インシデント以来、同社のサイバーセキュリティ体制を強化するために多大な努力と投資が行われたことを強調しました。また、罰金の支払いが以前に発表された投資家向けガイダンスに影響を与えるとは予想していないと述べました。