情報コミッショナー局は、顧客と従業員66万3,887人の個人データを漏洩させたサイバー攻撃を巡り、サウス・スタッフォードシャー・ウォーター社と親会社のサウス・スタッフォードシャー社に96万3,900ポンド(130万ドル)の罰金を科した。
同社は毎日 3 億 3,000 万リットルの飲料水を 160 万人の消費者に供給していますが、2022 年には同社が IT 運用を混乱させるサイバー攻撃の標的となったことを明らかにしました。
当時、同社は(最初に被害者を誤認した後)攻撃を主張したCl0pランサムウェア集団の主張を否定したが、流出したデータサンプルは本物のようだった。
ICOの調査により、流出したデータは確かに本物であり、South Staffordshire Water Plcのものであることが確認され、また、侵害が実際に2020年9月に始まったことも指摘された。
ICOは声明で、「ダークウェブ上で63万3,887人の個人情報が抽出・公開された重大なサイバー攻撃を受け、サウス・スタッフォードシャー社とサウス・スタッフォードシャー・ウォーター社(合わせてサウス・スタッフォードシャー)に96万3,900ポンドの罰金を科した」と述べた。
「この攻撃は2020年9月に発生したと考えられますが、主に2022年5月から7月の間に発生し、情報セキュリティに対する同社のアプローチにおける重大な欠陥が露呈し、顧客と従業員はほぼ2年間にわたって脆弱な状態に置かれました。」
ICO によると、この侵害は、攻撃者が同社のシステムにマルウェアをインストールすることを可能にするフィッシング攻撃によって発生しました。このマルウェアは 20 か月間検出されませんでした。
2022 年 5 月から 7 月にかけて、攻撃者は South Staffordshire Plc のネットワーク全体で権限を昇格させ、ドメイン管理者アクセス権を取得しました。
この侵害は、IT パフォーマンスの問題により調査が開始された後、2022 年 7 月に初めて発見されました。
流出したデータには、氏名、住所、電子メール アドレス、電話番号、生年月日、顧客アカウントの資格情報、銀行口座の詳細、社会保障番号などの従業員の人事データが含まれていました。
ICO は、このデータ漏洩事件につながった次のようなセキュリティ上の欠陥を多数発見しました。
- 権限昇格を防ぐための不適切な制御
- 監視は IT 環境の約 5% のみをカバーしていました
- Windows Server 2003 などの古いソフトウェアの使用
- 不十分な脆弱性管理と不足しているセキュリティパッチ
- 内部および外部の定期的なセキュリティ スキャンの欠如
規制当局は、これらの失敗は英国におけるデータ保護要件の違反に相当し、そのため罰金が課せられたと述べた。
当初の金額は高かったが、サウス・スタッフォードシャー州が早期に責任を認め、捜査に協力し、控訴せずに和解することに同意したため、ICOは罰金を40%減額した。
人工知能は、CPU と OS の両方のサンドボックスをバイパスする 4 つのゼロデイを 1 つのエクスプロイトに連鎖させました。新しいエクスプロイトの波が来ています。
Autonomous Verification Summit (5 月 12 日と 14 日) では、コンテキスト豊富な自律検証がどのようにエクスプロイトを発見し、制御が行われていることを証明し、修復ループを閉じるかをご覧ください。
自分の場所を主張しましょう
