ロンドン中心部のハックニー地区は、英国のデータ保護監視機関が2020年に同地区のシステムに対して発生したランサムウェア攻撃をめぐる詳細を誤解し「誇張」していると主張している。
ロンドン中心部の北東に位置するインナーロンドン自治区には、ハイテク企業が集まる「シリコンラウンドアバウト」がある。
攻撃では、ハックニーの住民28万人、市議会職員などを含む多数のデータが盗まれ、また、休眠アカウントの安全でないパスワードを使ってサーバーに侵入した犯人によってシステムのバックアップの一部が削除されました。この攻撃により「極めて個人情報」が漏洩しただけでなく、地域住民が利用する複数のシステムが長期間にわたりオフライン状態となりました。
データ保護法を無視した者に罰則を課す英国の情報コミッショナー事務局(ICO)は本日、数年にわたる技術的混乱と数百万ポンドの損害をもたらした攻撃についてハックニー区に懲戒処分を出した。
ICOによる譴責は、ICOの正式な不承認表明であり、英国の一般データ保護規則(GDPR)や同様の法律について多くの人が思い浮かべる公共部門における罰金に取って代わる形となりました。これは、現ICOコミッショナーのジョン・エドワーズ氏が2022年に発表した変更であり、組織への助言的ガイダンスも含まれるこれらの譴責は、インシデントの透明性を高めるために公表されます。現在、罰金は最も悪質な違反に対してのみ科せられます。
ICOは2020年の攻撃に関する調査後に出した結論の中で、ハックニー市議会がパッチ管理システムを適切に実装しておらず、最終的にサーバーへの最初のアクセスに使用された休眠アカウントの安全でないパスワードを変更していなかったと述べた。
ICOはさらに、ハックニー市議会がパッチ管理システムをより堅牢なソリューションに置き換えることを検討していることを認めた。また、ハックニーの情報セキュリティガバナンス、ポリシー、そして職員の研修は、特にパンデミックという困難な時期において、適切に機能していると述べた。
議会の広報担当者は本日、「ICOが調査を完了したことを歓迎する一方で、議会がセキュリティ義務に違反したとは考えていません。ICOは問題となっている事項に関して事実を誤解し、法律を誤って適用し、住民データへのリスクを誤解・誇張していると考えています」と述べた。
同氏らはさらに、ICOとの意見の相違にもかかわらず、市議会は「限られたリソース」を使って監視機関の裁定に異議を唱える用意はないとし、他の地方自治体の違反事例やサイバーセキュリティがいかに難しい問題であるかを指摘した。
「ICOの調査結果のすべてに同意するわけではないが、調査が完了したことで、データの安全性を維持し、住民が頼りにしている重要なサービスを提供するための継続的な取り組みに集中できる」とハックニー市長のキャロライン・ウッドリー氏は述べた。
「私たちは、この無分別な犯罪的攻撃がハックニーの住民と企業に与えた影響を深く遺憾に思います。困難にもかかわらず地域社会のために尽力し続けた市議会職員、そしてサービスが影響を受けている間も忍耐強く待ってくれた住民の方々に感謝します。」
事実
ハックニーへのサイバー攻撃は、2020年のCOVID-19パンデミックの真っ只中に大きな注目を集め、事件の新たな詳細が長期間にわたって少しずつ公表されるにつれて、その注目は消えなかった。
この攻撃は、現在は解散したPysaランサムウェア集団によって犯行声明が出されましたが、評議会の公式発表では「ランサムウェア」に言及されていませんでした。しかし、データが暗号化され、盗まれ、バックアップが破壊されたという事実は、ランサムウェアの関与を示唆しています。ランサムウェアのペイロードを展開することは、暗号化なしの攻撃が流行する直前の当時、Pysaの手口でもありました。
最終的に、Pysaはハックニーの住民、職員、その他少なくとも28万人に関する44万件のファイルを暗号化することに成功しました。ICOによると、犯人によって盗まれたファイルは9,605件で、人種、民族、宗教、性的指向、健康データ、経済データ、犯罪歴、そしてデータ漏洩によく含まれる氏名や住所などの個人情報が含まれていました。ハックニーは、このデータの盗難が230人に「重大な危害のリスクをもたらした」ことを認めました。
攻撃者は、セキュリティ専門家が侵入を阻止し、攻撃の拡大を阻止する前に、評議会のバックアップの10%を削除しました。しかし、被害はすでに発生しており、多くのシステムが数ヶ月間停止しました。
ハックニー市は、攻撃後約2年間、情報公開法に基づく請求や個人情報開示請求への対応が滞っていました。サイバー攻撃の有無にかかわらず、多くの地方自治体はCOVID-19パンデミックの影響でこの点に苦戦していました。
- ライトエイド、犯罪者によって220万人分のデータが盗まれたことを認める
- mSpyの新たな侵害を発見:さらに数百万人のストーカーウェア購入者が暴露される
- 侵害されたクラウドストレージからAT&T顧客1億1000万人の通話とテキストのログが盗まれた
- 日本の宇宙機関、M365への襲撃を掃討中にゼロデイ攻撃を発見
ICOのスティーブン・ボナー副長官は、「これはロンドン・ハックニー区による明白かつ回避可能なミスであり、大量のデータ損失を引き起こし、多くの住民に深刻な悪影響を及ぼしました。最悪のケースでは、極めて個人情報に近い情報が攻撃者の手に渡ってしまったのです。人々が頼りにしているシステムが何ヶ月もオフライン状態になりました。これは全く容認できないことであり、あってはならないことです」と述べました。
悪意ある行為者は常に存在するものの、評議会はシステムとデータをサイバー攻撃からより効果的に保護するための十分な対策を効果的に実施していませんでした。個人データ保護の責任者は、ユーザー名とパスワードが同じ休眠アカウントを持つといった単純なミスを犯してはなりません。このようなミスを避けていれば発生しなかったであろう侵害が、私たちは繰り返し目にしています。
ボナー氏は、ハックニー市が攻撃を緩和するために迅速に行動したことと、現在導入しているより強固なセキュリティ対策を改めて評価した。これらの要因が、罰金を科さず、代わりにICOの罰金回避型公共部門アプローチを採用するという決定に影響を与えた。®
