ビジネスプロセスアウトソーシング会社Capitaは、4月初旬に同社のシステムに影響を与えたサイバー攻撃でデータが盗まれたと想定するよう顧客に警告している。
攻撃が明らかにされてからほぼ6週間後、Capitaは英国最大の私的年金制度であるUniversities Superannuation Scheme(USS)に対し、会員のデータが盗まれたという前提でこの事件に対応するよう警告した。
USS は英国の大学や高等教育機関の 50 万人を超える会員(およびその家族)の年金を管理しており、彼らのために 822 億ポンド(1,020 億ドル以上)を投資しています。
Capita が USS に語ったところによると、ハッカーがアクセスしたサーバーには、氏名、生年月日、国民保険番号、USS 会員番号など、約 47 万人の現役会員、延期会員、退職会員の個人情報が保管されていたという。
「Capita は現時点で、このデータがハッカーによって明確に「流出」(つまり、アクセスおよび/またはコピー)されたかどうかを確認できませんが、その仮定に基づいて作業することを推奨しています。私たちは Capita からの特定のデータの受信を待っています。今度は検査して処理する必要がある」とUSSは金曜日に述べた。
「我々はこの事件をICOに報告し、ICOが実施することを選択した調査や、その後USSに対して行う可能性のある勧告について協力するつもりです。また、年金規制当局と金融行為監視機構にも報告しました。」
業界関係者によると、最大 350 の英国企業の退職金制度が Capita 攻撃の影響を受け、「英国史上最大のハッキングとなった」とテレグラフ紙は報じています。
Black Basta がデータを盗んだと主張
Capita は当初、この攻撃を「技術的な問題」と説明していましたが、 3 日後に同社は、週末にわたる停止はサイバー攻撃の結果であることを認めました。
4 月 17 日、Black Basta ランサムウェア ギャングは、プライベート リンクを使用してデータ漏洩サイトに Capita のプライベート エントリを追加し、個人の銀行口座の詳細、住所、パスポートのスキャン、その他の機密情報を含む、盗まれたとされるデータを販売すると脅迫しました。
Capitaの広報担当者は、ランサムウェア集団の申し立てについてコメントを求めたが、声明の提供を拒否した。
しかし、Capita は 4 月 20 日、 攻撃者が 3 月 22 日に Capita のシステムにアクセスし、同社が発見するまで活動を続けた後、システムの顧客、サプライヤー、または同僚のデータを含むファイルを同社の「サーバー資産」の約 4% から抽出したことを明らかにしました。 3月31日に違反。
さらに 2 週間後の 5 月 5 日、Capita は「サーバー資産の 0.1% 未満からデータが流出した」という新たな更新情報を公開しました。
同社はまた、4月の事件に関連して最大2,000万ポンド(約2,500万ドル)の並外れた費用が発生すると予想していることも明らかにした。
ロンドンに拠点を置く Capita は政府の請負業者であり、金融、IT、ヘルスケア、教育分野の顧客とも協力しています。
同社の顧客リストには、労働年金省、国民保健サービス (NHS)、英国軍のほか、ボーダフォン、O2、ロイヤル バンク オブ スコットランドなどの有名企業が含まれています。
Comments