英国の情報コミッショナー事務局(ICO)は、2023年に660万人分の個人情報が流出したデータ漏洩事件で、データ主導のビジネスプロセスサービスを提供するキャピタ社に1400万ポンド(約1870万円)の罰金を科した。
キャピタは英国を拠点とするアウトソーシングおよびプロフェッショナル・サービスの大手企業で、地方議会、NHS、国防省、銀行、公益事業、電気通信分野の組織にコンサルティング、デジタル、ソフトウェア・サービスを提供している。
従業員数は約34,000人、年間売上高は30億ポンドで、キャピタの顧客は主にイギリスとヨーロッパにある。
数百の退職年金プロバイダーに影響
ICOは当初、罰金を大幅に上回る4500万ポンドに設定していたが、同社が責任を認め、重要なセキュリティ改善を実施し、暴露された個人にデータ保護サービスを提供したことから、同局は罰金の減額を決定した。
データ保護当局はCapita plcに800万ポンド、Capita Pension Solutions Limitedに600万ポンドの罰金を科した。
ICOの調査により、盗まれたデータは660万人に影響を与え、英国内の325の年金制度プロバイダーを含む数百のキャピタの顧客に影響を与えることが確認された。
2023年4月、同社は社内のマイクロソフト365環境へのアクセスを試みるハッカーの標的にされたと発表し、対応の一環として一部のシステムをオフラインにした。
その3週間後の更新で、ハッカーがキャピタ社内のITインフラの4%にアクセスし、侵入されたシステムでホストされていた個人ファイルを流出させたことが確認された。
Black Bastaというランサムウェア集団がこの攻撃を主張し、同社が身代金を支払わない限り盗まれたファイルをすべて流出させると脅迫した。
ハッカーは58時間アクセス可能だった
サイバー攻撃は2023年3月22日、キャピタの従業員が悪意のあるファイルをダウンロードし、ハッカーが同社の内部ネットワークにアクセスした際に発生した。
ICOは、侵入が10分以内に検出されたにもかかわらず、キャピタ社は感染したデバイスをさらに58時間隔離しなかったため、攻撃者が横方向に移動し、ネットワーク上に拡散し、機密データベースにアクセスする十分な時間を与えてしまったとコメントしている。
「このファイルによって、キャピタのネットワーク上に悪意のあるソフトウェアが展開され、ハッカーがシステムにとどまり、管理者権限を得て、ネットワークの他の領域にアクセスできるようになった。
「2023年3月29日から30日にかけて、約1テラバイトのデータが流出した。2023年3月31日、ランサムウェアがキャピタのシステムに展開され、ハッカーはすべてのユーザーパスワードをリセットし、キャピタのスタッフがシステムやネットワークにアクセスできないようにしました」と英国のデータ保護当局は述べている。
キャピタは現在、不十分なアクセス管理(階層型管理者アカウントモデルの不在)、セキュリティ警告への対応の遅れ、人員不足のセキュリティ対策センターの運営、定期的な侵入テストとリスク管理演習の不履行で罰金を科されている。
キャピタのアドルフォ・ヘルナンデス最高経営責任者(CEO)は、ICOとの和解を発表し、事件以来、同社のサイバーセキュリティ態勢を強化するために費やした努力と投資を強調した。
同CEOはまた、罰金の支払いによって、以前に発表された投資家向けガイダンスに影響が出るとは考えていないと述べた。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
パイカスブルーレポート2025年版はこちらパスワード・クラッキングが2倍増加
46%の環境でパスワードがクラックされ、昨年の25%からほぼ倍増。
今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。
Comments