独占 画期的なサイバー攻撃から7カ月を経て、英国のリーガル・エイド・エージェンシー(LAA)は「侵害前の運用」に戻りつつあると述べているが、法律事務所は依然としてバグだらけで手間のかかるシステムに苦しんでいる。
The Registerに語った関係者によると、LAAのクライアント・アンド・コスト・マネジメント・システム(CCMS)――民事法扶助業務に対する政府からの支払いを請求するために弁護士が利用するシステム――は、オンラインに復帰して以来「使うのが悪夢のようだ」という。
同システムは12月1日に再稼働し、その時点でLAAはサイバー攻撃前のサービス水準に戻り始めていると主張していた。しかし、その技術を実際に使わされている人々は、セッションからランダムに追い出される事態に直面し、苛立ちを募らせている。
法曹関係者とその事務スタッフは現在、サイバー攻撃を受けて導入された新たなプロセスであるAWSセキュアブラウザを使ってCCMSにアクセスしている。しかしLAAは、運用開始後最初の1週間は、そのブラウザに同時接続制御がかかると警告していた。
「ログイン時にストリーム容量の制限に関するメッセージが表示される場合があります」と法務関係者には警告されていたが、システム利用者がThe Registerに語ったところによると、こうした同時接続制御がセッションの突然の終了も招いているという。
その後、LAAは非公開のうちに一時的にサービスを停止し、ユーザーに対してログインを試みないよう伝えた。
事情に詳しい関係者がThe Registerに語ったところでは、こうした可用性の不安定さは、LAAがCCMSを同時に利用できるユーザー数を段階的に増やしていったことに起因しているという。
ランダムなタイムアウトに伴う大きな問題のひとつは、作業内容が失われてしまうことだ。内部関係者によれば、彼らは現在、はるかに労力のかかるデジタル手続きと格闘しており、その多くはより厳格なセキュリティ対策によるものだという。
職員は重要書類のアップロードやダウンロードに苦労している。これらは現在、ブラウザとは別の新たなセキュリティ対策として、必ずAWS経由で行わなければならないため、セッションが不意に終了すると、事前にダウンロードしていた文書が失われ、再ログイン後にそれらのワークフローを一から作り直さなければならない。
「コンピューターに詳しくない人にとっては、このシステムを扱うのは悪夢でしょう」と、ある法務関係者は語った。「提供されている説明情報はとても回りくどく、分かりやすいとは言えません。」
12月8日時点では、こうした同時接続制限はユーザーセッションに影響を与えなくなったとされているものの、職員は新しい業務フローの別の部分で依然として摩擦の増大を経験している。
新たな多要素認証(MFA)ポータルが導入されており、職員がくぐり抜けなければならない「輪」が増えた結果、場合によってはCCMSへのログインに最大6分かかることもある。
リーガル・エイド・サービスへのサインイン(SILAS)は、従来CCMSの認証に使われていた単純なメールアドレスとパスワードの組み合わせに代わるものだ。これは同庁のデジタル基盤のセキュリティ強化を目的として導入されたが、このプロセスに詳しい人によれば、サービスにアクセスするためにMicrosoft Authenticatorから複数回コードを要求される場合もあり、その結果、職員は複数の認証画面を行き来しなければならないという。
ファイル管理に対する新たな制限も、法扶助業務の費用償還を申請しようとする職員にとっての苦痛の種となっている。
事務スタッフは、ファイルサイズの上限が小さくなったことで苦労している。従来であれば一度にアップロードできていた大きな文書を、現在は複数の小さなファイルに分割しなければならない場合があるのだ。
ファイル名に使えるのは英数字とハイフン、アンダースコアのみで、スペースは使用できない。また、転送プロセスは、AWSへのアップロード、次に一時保管ファイルへの移動、その後CCMSへの移動という手順を踏む。
これらはいずれも手間のかかるプロセスであり、単体では小さなことに見えても、積み重なることで不満がどんどん増大している。
LAAの広報担当者は次のように述べた。「私たちは法扶助サービスへのアクセスを回復するため迅速に行動し、現在はフル稼働に戻っています。ユーザーのデータを保護し、サービスの安全性と信頼性を確保するため、新たなサインインサービスを導入し、事件管理システムのセキュリティを強化しました。」
「私たちは引き続きシステムのパフォーマンスを綿密に監視し、プロバイダーがオンラインに復帰する中で増加している利用量に対応するため、技術的なキャパシティを拡大しました。個々のユーザーが困難に直面した場合には、カスタマーサポートチームが支援する体制を整えています。」
LAAに対する2025年5月のサイバー攻撃は、2010年にさかのぼる法的手続きに関連する詳細情報が露出したことから、英国史上最も機微な事案の一つと見なされている。
この攻撃に関する多くの詳細については、英国政府が関係データの共有を禁じる差し止め命令を取得したため、ジャーナリストは報道を差し控えざるを得なかった。
盗まれたデータの内容は明らかになっていないが、法扶助関係者や、彼らが法廷で弁護した人々に関する情報が含まれている可能性が高い。
法務省は、法扶助申請者に関連する「相当量の個人データ」が巻き込まれたと述べている。
当時の報道の通り、2023年4月から2024年3月の間に約38万9,000件の法扶助請求が行われ、そのうち96パーセントが認められた。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/11/legal_aid_agency_recovery/
