英国の司法省は、昨年公表した注目度の高いサイバー攻撃の前に、法的扶助庁(LAA)におけるサイバーセキュリティ改善に5,000万ポンド(6,700万ドル)を費やしていた。
この事実は本日、公共会計委員会(PAC)が公表した報告書で明らかになった。同報告書は、安全性に問題のあるHMPダートムーア刑務所への司法省の対応を徹底的に非難するとともに、LAAへのサイバー攻撃の取り扱いに関する失敗や問題点の一覧を浮き彫りにしている。
政府関係者はPACに対し、LAAのセキュリティ上の欠陥は2021年以降、リスク登録簿に載っていたと述べた。同庁におけるサイバー攻撃のリスク評価は「極めて高い」であり、さまざまな問題に対処するため、8.5百万ポンド、10.5百万ポンド、3,200万ポンドの3回に分けて巨額の資金投入が行われた。
司法省とLAAはいずれも、英国史上最も機微なものの一つと見なされるこのサイバー攻撃が2024年12月に始まった一方で、検知されたのは2025年4月になってからだったことを認めている。
The Registerは、この4か月の遅れについて司法省に回答を求めた。PACの報告書によれば、セキュリティ改善のために確保された5,000万ポンドの一部(1,050万ポンドの資金枠の一部)は、新たな脅威検知システムに費やされ、最終的にそれが4月に侵入を検知したという。しかし、それがいつ運用開始されたのかは明確ではない。
10月に委員会で証言したLAAのCEO、ジェーン・ハーボトル氏は、同庁が2024年にそのシステムのための資金を確保したと述べたが、2024年12月以降に稼働したことを示唆した。システムがいつ本番稼働したのかについて明確な言及はないが、この点については司法省の回答を待っている。
また、4月に攻撃を検知してから、5月にサーバーを停止するまで、約1か月の遅れもあった。
PACによれば、LAAは当初、法的扶助申請者のデータが侵害されたことを理解していなかった。4月時点では、法的扶助提供者に属する詳細情報のみが関与していると考え、その時点で、口座情報や取引データなど一部の財務データにアクセスされた可能性があると提供者に通知した。
ハーボトル氏は委員会に対し、次のように述べた。「5月16日(金)に、攻撃が当初理解していたよりもはるかに広範であり、背後のグループが、法的扶助申請者に関する可能性のある大量の情報にアクセスしていたことを突き止めました。
「その段階での追加調査により、攻撃者がシステムに最初に侵入したと確認できるのは2024年12月31日にさかのぼることが判明しました。その時点で、私たちは直ちにシステムを停止しました。ウェブ上またはダークウェブ上に出回り得るあらゆる詳細情報の二次的な公開を止めるための差止命令を取得し、その後、提供者基盤全体にわたって…代替措置を発動しました。」
4月23日から5月16日までの間、LAAと司法省の間では、攻撃後もサーバーをオンラインのままにしておくことに伴うリスクと司法へのアクセスの両立の必要性について、上級レベルの協議が毎日行われた。
最終的に、サーバー停止後に代替計画が実施され、LAAは提供者が市場から撤退した者はいなかったと報告したものの、法曹界全体への影響は「苛烈」だった。
ハーボトル氏は、法曹関係者の最優先事項は法的扶助へのアクセスを維持することであり、LAAはそれを実現したが、デジタル時代における事件処理をより手作業で管理するプロセスは、職員のウェルビーイングに深刻な影響を与えたと述べた。
LAAは代替期間中、攻撃前の3か月間の平均月次支払額に基づいて算出した平均支払額を発行することで、法的扶助提供者への資金の流れを維持した。同庁の観点では、この期間中は提供者に過払いしていたことになるが、時間をかけてその資金を回収していくという。
ただし、その回収はLAAが支払った速度の25%のペースで行われており、滞留分の解消には何年もかかる可能性が高い。
ハーボトル氏は次のように述べた。「代替措置の1週間分について、私たちはその週の資金を1か月かけて回収します。もし20回支払っていれば、その資金を回収するのに20か月かかります。」
さらなる資金が必要
司法省の事務次官であるジョー・ファラー博士は、LAAがIT資産全体を完全に変革するには、さらに資金が必要になる可能性が高いと述べた。
司法省で最も高リスクなシステムを抱えるLAAへの攻撃を受け、変革が加速されるのかと問われたファラー氏は、既存計画の加速には資金が必要であるため、予算配分次第だと述べた。
「現時点では配分の判断に委ねられており、当然ながら、バランスを取るべき資金判断は数多くあります」と彼女は述べた。
LAAシステムの保護にすでに配分された資金の一部は、全面的なシステム置換ではなく、緩和策に費やされた。ファラー氏は最優先事項はLAAをサイバー攻撃から守ることであり、緩和策の適用は、利用可能な資金の範囲で優先順位のバランスを取るうえで、時に最も効率的な方法だと述べた。
PACはまた、司法省のシステムが個人データを安全に保管できるという点で、国民が信頼を持てるのかどうかも質問した。
ファラー氏は、司法省がすべてのシステムを「包括的に見直した」と述べ、同省は弱点がどこにあるかを明確に把握していると主張した。
「公的部門・民間部門を問わず多くのシステムと同様に、犯罪目的でデータを妨害し、アクセスしようとする、ますます高度化した主体が存在するのを私たちは目にしています」と彼女は述べた。
「私たちはリスクがどこにあるのかを把握し、それに応じてシステムを更新するために、できる限りのことをしています。もちろん、先ほども申し上げたとおり、それには莫大なコストがかかります。
「私たちは、最も高リスクなシステムと特定された法的扶助システムに専用の資金を充てました。その他の改善に関する判断は、今後、配分プロセスを通じて行われます。しかし、ご安心いただきたいのは、私たちはすべてのシステムの評価を行っており、リスクがどこにあるかを把握しているということです。」 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/07/legal_aid_agency_attack/
