概要：大規模データ侵害と罰金

英国の情報コミッショナーオフィス（ICO）は、2023年3月に発生した大規模なサイバー攻撃により660万人の個人情報が流出した件で、Capitaに対し1,400万ポンド（約26億円）の罰金を科しました。この罰金は、Capita plcに800万ポンド、子会社のCapita Pension Solutions Limitedに600万ポンドが課せられました。この侵害により、年金記録、従業員情報、600以上の組織の顧客詳細など、数百万人の機密データが危険にさらされました。多くの被害者にとって、盗まれた情報には金融データ、犯罪記録、その他の機密性の高い個人情報が含まれていました。特に年金制度提供者が影響を受け、325の組織がCapita Pension Solutions Limitedを通じてデータ流出を経験しました。

攻撃の経緯

サイバー攻撃は、2023年3月22日に従業員が誤って悪意のあるファイルをダウンロードしたことから始まりました。Capitaのセキュリティシステムは10分以内に高優先度のアラートを発しましたが、同社は感染したデバイスを隔離するまでに58時間も待機しました。この決定的な遅延により、攻撃者はネットワーク全体に悪意のあるソフトウェアを拡散させ、管理者アクセス権を取得し、システム間を自由に移動する十分な時間を得ました。3月29日から30日の間に、攻撃者はCapitaのシステムから約1テラバイトのデータを盗み出すことに成功しました。3月31日には、ランサムウェアを展開し、すべてのユーザーパスワードをリセットし、Capitaの従業員をネットワークから締め出しました。ICOには、このセキュリティ障害の影響を受けた人々から少なくとも93件の苦情が寄せられました。

Capitaのセキュリティ対策の不備

ICOの調査により、Capitaのセキュリティ対策に深刻な弱点があることが明らかになりました。同社は管理者アカウントに対する適切な制御を実装しておらず、攻撃者が特権を昇格させ、複数のドメインにわたる重要なシステムにアクセスすることを許しました。この脆弱性は、攻撃前に3回特定されていましたが、一度も修正されていませんでした。Capitaのセキュリティオペレーションセンター（SOC）は人員不足であり、セキュリティアラートに対する目標応答時間である1時間を頻繁に達成できていませんでした。インシデント発生前の少なくとも6ヶ月間、チームはこれらの重要な期限を継続的に守ることができませんでした。さらに、同社はシステムが最初に設定されたときにのみ侵入テストを実施し、数百万件の機密記録を扱うシステムであっても、その後のフォローアップテストは一度も行っていませんでした。

Capitaの対応とICOの声明

ICOは当初、Capitaに4,500万ポンドの罰金を科すことを計画していましたが、同社の対応を考慮して罰金を1,400万ポンドに減額しました。Capitaは影響を受けた顧客に対し、Experianを通じて12ヶ月間の無料信用監視サービスを提供し、サポートのための専用コールセンターを設置しました。26万人以上が信用監視サービスを有効にしました。英国の情報コミッショナーであるジョン・エドワーズは、あらゆる規模の組織がサイバーセキュリティを真剣に受け止めるべきだと強調しました。彼は、適切なセキュリティ対策があれば、この規模の侵害は防げたはずであり、サイバー犯罪者は待ってくれないため、企業は顧客データの保護を遅らせる余裕はないと述べました。

元記事: https://gbhackers.com/capita-fined-14-million-after-data-breach/