英国の水道会社が、2年間にわたるインシデントで63万3,000人以上の個人情報が漏洩した後、データ保護規制当局から100万ポンド(140万ドル)近い罰金を科されました。
南スタフォードシャーウォーター社および親会社の南スタフォードシャーPLC社は、情報コミッショナー事務所(ICO)に対し、罰金に異議を唱えない代わりに、当初の160万ポンド(220万ドル)から40%減の罰金を支払うことに同意しました。
このインシデント自体は、2020年9月11日に成功したフィッシングメールから始まり、Get2ダウンローダーとSDBbotリモートアクセストロイの木馬(RAT)のインストールがもたらされました。
しかし、ネットワーク侵入はほぼ2年間検出されないままでした。2022年5月17日、脅威アクターは水道会社のネットワーク内で横展開を開始し、ドメイン管理者アカウントとリモートデスクトッププロトコルを使用して、その日から8月4日までの間に20の異なるエンドポイントにアクセスしました。
侵害が発見されたのは、「予定外のデータベースエクスポート」が原因で発生したITパフォーマンスの問題により、2022年7月15日に調査が開始された時のことです。9日後、同社は規制当局に個人データ侵害を報告しました。
7月26日、水道会社は脅威アクターが何人かのスタッフメンバーに送信しようとしていた身代金要求ノートを発見しました。
水道会社の侵害についてさらに詳しく読む:NCSCが英国水道会社に制御システムのセキュリティを呼びかけ。
脅威アクターは南スタフォードシャーウォーターから4.1TBのデータを盗んだと主張しており、現在および以前の顧客と従業員633,887人分に相当します。これはICOによると、同社が保有するすべての個人情報の約3分の1(34%)です。
ダークウェブにダンプされた盗まれたPIIは、以下を含む非常に機密性の高い情報でした:
- 氏名、住所、メールアドレス、生年月日、性別、電話番号などの個人詳細情報
- 国民保険番号を含む従業員のHR情報
- 顧客アカウント情報、銀行口座番号、並びにソートコード
- 優先サービスレジスターに関連する顧客情報。これから障害を推定することができます
複数のセキュリティ上の欠陥
同社のセキュリティ態勢は複数の分野で不十分であることが判明しました:
- 攻撃者が管理者権限にエスカレートすることを可能にした限定的な制御(最小権限ポリシー施行の欠如を含む)
- 不十分な監視とログ記録。IT環境の5%だけが監視されていました
- Windows Server 2003を含む一部のデバイスでの非サポートレガシーソフトウェアの使用
- パッチが適用されていないクリティカルシステム、定期的な内部または外部のセキュリティスキャンがない不十分な脆弱性管理
ICOの規制監督の暫定執行取締役であるIan Hulme氏は、水道顧客はどの企業を使用するかについて選択肢がないため、プロバイダーはデータ保護責任を真摯に受け止める必要があると主張しました。
「南スタフォードシャーが実施しなかったステップは、コンピュータネットワークを保護するための確立された、広く理解されている、効果的な制御です。ICOは、特に重要な国家インフラの一部として大量の個人情報を扱うすべての組織が、これらを実施していることを期待しています」と彼は付け加えました。
「パフォーマンスの問題または身代金要求ノートを待って侵害を発見することは許容できません。プロアクティブなセキュリティは、オプションではなく法的要件です。」
得られた教訓
ICOは、このおよび他の重要なインフラセクターで働くセキュリティプロフェッショナルにとって有用である可能性のある、このケースの詳細な報告書を公開しました。
規制当局は組織に対し、このインシデントに照らして自らの回復力の態勢を見直し、以下の自問を行うことを促しました:
- 最小権限アクセス制御は実施されていますか?
- ログ記録と監視制御はIT環境の十分なカバレッジを提供していますか。また、アラートに対応していますか?
- すべてのシステムはパッチが適用され、サポートされていますか?
- 脆弱性管理は定期的な運用実践の一部ですか。内部スキャンと外部スキャンの両方を含みますか?
翻訳元: https://www.infosecurity-magazine.com/news/south-staffordshire-water-fined-1m/
