概要

英国の情報コミッショナーオフィス（ICO）は、2023年3月に発生した大規模なサイバー攻撃により、660万人もの個人情報が流出したキャピタ（Capita）に対し、1400万ポンド（約26億円）の罰金を科しました。この罰金は、キャピタ・ピーエルシー（Capita plc）に800万ポンド、子会社のキャピタ・ペンション・ソリューションズ・リミテッド（Capita Pension Solutions Limited）に600万ポンドが課せられました。

この侵害により、年金記録、従業員情報、600以上の組織の顧客詳細など、数百万人の機密データが危険にさらされました。多くの被害者にとって、盗まれた情報には金融データや犯罪記録などの極めて機密性の高い個人情報が含まれていました。特に、325の年金制度提供者がキャピタ・ペンション・ソリューションズ・リミテッドを通じてデータ漏洩の被害を受けました。

攻撃の経緯

サイバー攻撃は2023年3月22日、従業員が誤って悪意のあるファイルをダウンロードしたことから始まりました。キャピタのセキュリティシステムは10分以内に高優先度のアラートを発しましたが、同社は感染したデバイスを隔離するまでに58時間も要しました。この決定的な遅延により、攻撃者はネットワーク全体に悪意のあるソフトウェアを拡散させ、管理者権限を取得し、システム間を自由に移動する十分な時間を得ました。

3月29日から30日にかけて、攻撃者はキャピタのシステムから約1テラバイトのデータを盗み出しました。そして3月31日にはランサムウェアを展開し、すべてのユーザーパスワードをリセットし、キャピタの従業員を自社ネットワークから締め出しました。このセキュリティ障害により、ICOには少なくとも93件の苦情が寄せられました。

ICOが指摘したセキュリティの脆弱性

ICOの調査により、キャピタのセキュリティ対策における深刻な弱点が明らかになりました。

• 管理アカウントの不適切な制御: 同社は管理アカウントに対する適切な制御を実装しておらず、攻撃者が特権を昇格させ、複数のドメインにわたる重要なシステムにアクセスすることを許しました。この脆弱性は、攻撃前に3回も特定されていましたが、一度も修正されていませんでした。
• SOCの人員不足と対応遅延: キャピタのセキュリティオペレーションセンター（SOC）は人員不足であり、セキュリティアラートに対する目標応答時間である1時間を頻繁に達成できていませんでした。インシデント発生前の少なくとも6ヶ月間、チームはこれらの重要な期限を継続的に守ることができませんでした。
• 不十分なペネトレーションテスト: 同社はシステムの初期設定時にのみペネトレーションテストを実施し、数百万件の機密記録を扱うシステムであっても、その後の追跡テストを一度も実施していませんでした。

罰金とキャピタの対応

ICOは当初、キャピタに4500万ポンドの罰金を科すことを計画していましたが、同社の対応を考慮し、罰金を1400万ポンドに減額しました。キャピタは、被害を受けた顧客に対し、エクスペリアン（Experian）を通じて12ヶ月間の無料信用監視サービスを提供し、サポートのための専用コールセンターを設置しました。26万人以上がこの信用監視サービスを利用しました。

情報コミッショナーの警告

英国の情報コミッショナーであるジョン・エドワーズ氏は、あらゆる規模の組織がサイバーセキュリティを真剣に受け止めるべきだと強調しました。彼は、適切なセキュリティ対策が講じられていれば、今回の侵害の規模は防ぐことができたはずであり、サイバー犯罪者は待ってくれないため、企業は顧客データの保護を遅らせる余裕はないと述べました。

---

元記事: https://gbhackers.com/capita-fined-14-million-after-data-breach/