英国の情報コミッショナー事務局(ICO)は、2023年に発生した壊滅的なサイバー攻撃により660万人分の個人データが漏洩したことを受け、アウトソーシング大手キャピタに1,400万ポンド(1,860万ドル)の罰金を科しました。
罰金の内訳は、キャピタplcに800万ポンド(1,060万ドル)、キャピタ・ペンション・ソリューションズに600万ポンド(800万ドル)です。この漏洩は、キャピタのサービスを利用する600以上の組織のうち325組織に影響を与え、従業員や年金の機密記録が危険にさらされました。
ICOのキャピタの失敗に関する完全な報告書 [PDF] によると、攻撃者は銀行口座やクレジットカードの詳細、バイオメトリクスデータ、パスポート情報、ログイン情報、子供のデータなど、極めて機密性の高い情報にアクセスしていました。漏洩したデータの内容は、被害にあった660万人それぞれで異なります。
英国情報コミッショナーのジョン・エドワーズ氏は「キャピタは、何百万人もの人々から託されたデータを守る義務を果たしませんでした。この漏洩の規模とその影響は、十分なセキュリティ対策があれば防ぐことができたはずです」と述べました。
「キャピタのような大企業が基準を満たさなかった場合、その影響は重大です。データが漏洩した人々―多くの方が不安やストレスを訴えています―だけでなく、一般の人々の信頼や、私たちの将来の繁栄にも影響します。今回の罰金が示す通り、どんなに大きな組織でも責任を無視することはできません。」
ICOは当初、キャピタに4,500万ポンド(6,010万ドル)の罰金を科す予定でしたが、キャピタがセキュリティの改善、被害者支援、国家サイバーセキュリティセンターを含む当局との協力を示したため、減額されました。
キャピタは2024年の暦年で税引後利益1億1,660万ポンド(1億5,550万ドル)を計上しており、今回の罰金はこの約12%に相当します。
Tussell のデータによれば、大規模漏洩以降、英国政府はキャピタに合計60億ポンド(80億ドル)相当の241件の契約を与えていますが、これらの契約にはサイバーセキュリティの責任についてほとんど言及がありません。
攻撃の解剖
失敗の核心は、2023年3月の最初の侵入に対するキャピタの対応の遅さにあり、システムが潜在的な侵害を検知してから重要な封じ込め措置が実施されるまで58時間かかりました。
すべては悪意のあるJavaScriptのダウンロードから始まりました。これがどのようにして実行されたかは不明ですが、Microsoftの調査によればフィッシングの証拠がなかったため、ドライブバイダウンロードによるものと考えられています。
攻撃者はその後、Qakbotマルウェアと広く悪用されているCobalt Strikeペンテストツールをインストールしました。
キャピタのセキュリティオペレーションセンター(SOC)は、JavaScriptダウンロード後に発生した高レベルのP2アラートとSLAアラートを見逃しました。
攻撃者はその後、バックアップ管理者アカウントを使ってスタッフの端末にログインしました。これは2023年3月22日7時52分の初回侵害から4時間21分後のことでした。
ICOの分析によれば、Kerberos認証情報の収集の痕跡があり、キャピタのActive Directoryが侵害された可能性が高いとされています。攻撃者はハッシュ化されたパスワードを解読してバックアップ管理者アカウントにアクセス・ログインした可能性があります。
一連の重大な失敗の中で、CAPITA\backupadminサービスアカウントはMicrosoftのセキュリティベストプラクティスに違反していました。ドメイン管理者権限を持ち、最小権限アクセスではなかったこと、端末アクセス制限がなかったこと、侵害の監視がなかったこと、階層化されたアクセスモデルがなかったこと、特権アクセス管理(PAM)制御がなかったことが挙げられます。
攻撃者はこのアカウントを利用して、キャピタの他の8つのドメインに横展開しました。特に、2022年8月以降に実施された3回のペネトレーションテストでこの脆弱性が指摘されていましたが、キャピタは是正措置を取りませんでした。
初回侵害から24時間以上経過した後、キャピタのTrellix EDRシステムが、スタッフ端末でQakbotがユーザー名やパスワードを復元・復号しているのを検知しました。SOCが感染端末を隔離したのは3月24日、つまりJavaScriptダウンロードから58時間後でした。
キャピタはP2アラートに対して45分以内の対応(SLAは1時間)を掲げていましたが、実際には57時間かかりました。ICOは、QakbotやCobalt Strikeが即時対応を要するP1アラートを発生させるべきだったと指摘しています。
キャピタが対応した時点では、攻撃者はすでにネットワーク内に持続的な足場を築き、ドメイン管理者アカウントにアクセスしてネットワーク内を横移動できる状態でした。
3月24日から28日までの4日間、攻撃者はCobalt StrikeとBloodhoundを使ってネットワークの偵察を行い、その後キャピタが3台のスタッフ端末の侵害を検知し、封じ込めました。
ICOは、事件発生時にキャピタ全体でSOCアナリストが1人しか配置されていなかったことを指摘しました。これは、P2アラートのSLA達成率が2022年11月以降ほとんど30%未満(目標は95%)で推移し、攻撃前6か月でP2アラート件数が100%増加していたにもかかわらずです。
攻撃者はSystemBCとRcloneを使ってデータの抽出を開始し、24時間以内に約1TBの情報を盗み出しました。
攻撃の分析でICOは「キャピタは個人データが流出したシステムについて、これまで一度もペネトレーションテストを実施した証拠を示していません。さらに、これらの事業部門のセキュリティについて内部監査を行った証拠もありません」と述べています。
3月31日未明、攻撃者は少なくとも1,057台のホストにランサムウェアを展開し、59,359アカウントのグローバルパスワードリセットを実行。その後、キャピタはこの事件をICOに報告しました。
キャピタは4月6日までにほぼ復旧しましたが、完全なシステム復旧は5月17日まで段階的に進み、99%のシステムが利用可能となりました。「2023年6月中旬」には稼働率100%に達しました。
キャピタの対応
ICOの完全なインシデント報告書によると、キャピタは複数回にわたり、ICO職員が自社のセキュリティ体制についてコメントする規制権限を持たないと主張しましたが、ほとんどの場合ICOはこれに同意しませんでした。
本日の罰金に対する声明で、キャピタは本件を遺憾とし、システム改善に取り組むと述べました。
キャピタCEOのアドルフォ・ヘルナンデス氏は次のように述べています。「キャピタは、公共サービスや民間セクター向けの主要サービスを提供する組織として、最近の英国大手企業への大規模サイバー攻撃の波の中で最初の標的となりました。」
「私は攻撃の翌年にCEOに就任し、サイバーセキュリティ変革を加速させ、新たなデジタル・技術リーダーシップと大規模な投資を行いました。その結果、サイバーセキュリティ体制を大幅に強化し、高度な防御策を導入し、継続的な警戒の文化を根付かせました。」
「過去2年間にわたるICOとの長期的な対話を経て、本件を終結し、本日の和解に至ったことを嬉しく思います。キャピタのチームは、顧客、従業員、そして社会全体のために、グループの変革に引き続き全力で取り組んでいます。」
ICOのエドワーズ氏は「多くのサイバー攻撃が報道される中、私たちのメッセージは明確です。どんなに大きな組織でも、人々のデータを守るために積極的な対策を講じなければなりません。サイバー犯罪者は待ってくれません。企業も待つ余裕はありません。今日行動することで、明日の最悪の事態を防ぐことができるのです」と述べています。
®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/15/ico_fines_capita_14m/
