英国の情報コミッショナー事務局(ICO)は、2023年に発生したデータ漏洩事件で660万人の個人情報が流出したことを受け、データ駆動型ビジネスプロセスサービスプロバイダーであるカピタに1,400万ポンド(1,870万ドル)の罰金を科しました。
カピタは、英国を拠点とする大手アウトソーシングおよびプロフェッショナルサービス企業で、地方自治体、NHS(国民保健サービス)、国防省、銀行、公益事業、通信分野の組織にコンサルティング、デジタル、ソフトウェアサービスを提供しています。
約34,000人の従業員と年間30億ポンドの売上高を持つカピタの顧客は、主に英国とヨーロッパに集中しています。
数百の年金プラン提供者に影響
ICOは当初、罰金額を4,500万ポンドと設定していましたが、同社が責任を認め、重要なセキュリティ改善を実施し、漏洩した個人にデータ保護サービスを提供したことから、罰金を減額する決定を下しました。
データ保護当局は、カピタplcに800万ポンド、カピタ・ペンション・ソリューションズ・リミテッドに600万ポンドの罰金を科しました。
ICOの調査により、盗まれたデータは660万人および英国の325の年金スキーム提供者を含む数百のカピタ顧客に影響を与えていることが確認されました。
2023年4月、同社は発表し、ハッカーによる社内のMicrosoft 365環境へのアクセス試行があり、一部システムをオフラインにしたと明かしました。
3週間後のアップデートでは、ハッカーがカピタの社内ITインフラの4%にアクセスし、侵害されたシステム上の機密ファイルを持ち出したことが確認されました。
ブラックバスタ・ランサムウェア集団が攻撃を主張し、身代金が支払われなければ盗んだファイルをすべて公開すると脅迫しました。
ハッカーは58時間アクセス可能だった
サイバー攻撃は2023年3月22日に発生し、カピタの従業員が悪意のあるファイルをダウンロードしたことで、ハッカーが社内ネットワークにアクセスできるようになりました。
ICOによると、侵害は10分以内に検知されたものの、カピタは感染デバイスを隔離するまでにさらに58時間を要し、その間に攻撃者はネットワーク内を横断し、機密データベースにアクセスする十分な時間があったとしています。
「このファイルにより、カピタのネットワークに悪意のあるソフトウェアが展開され、ハッカーはシステム内に留まり、管理者権限を取得し、ネットワークの他の領域にアクセスできるようになりました」と情報コミッショナー事務局は述べています。
「2023年3月29日から30日にかけて、ほぼ1テラバイトのデータが持ち出されました。2023年3月31日には、ランサムウェアがカピタのシステムに展開され、ハッカーはすべてのユーザーパスワードをリセットし、カピタのスタッフがシステムやネットワークにアクセスできなくなりました」と英国のデータ保護当局は述べています。
カピタは、不十分なアクセス制御(階層化された管理者アカウントモデルの不在)、セキュリティアラートへの対応の遅れ、セキュリティオペレーションセンターの人員不足、定期的なペネトレーションテストやリスク管理演習の未実施により罰金を科されています。
カピタのCEOアドルフォ・ヘルナンデスはICOとの和解を発表し、事件以降、同社のサイバーセキュリティ体制強化に向けた努力と投資を強調しました。
また、罰金の支払いがこれまでに公表された投資家向けガイダンスに影響を与えることはないと述べています。
