英国の法律事務所がサイバー攻撃の後に6万ポンドの罰金 ~サイバー攻撃が「暴いた」GDPR違反~
サイバーレジリエンス※今号は生成AIによってドラフトされた内容を
執筆者が編集してお届けしています。
2025年4月16日、英国データ保護機関(ICO)は、
リバプールに拠点を置く法律事務所DDP Lawに対して、
2022年6月に発生したランサムウェア攻撃と
データ漏洩に関連するGDPR(厳密にはU.K. GDPR) 違反で
6万ポンドの罰金を科しました。
この攻撃では、32.4ギガバイトのデータが盗まれ、
791人が影響を受けました。
漏洩した情報には、DNA検査データ、
子供や性犯罪被害者の詳細などが含まれていました。
このサイバー攻撃は、
ブルートフォース攻撃による
管理者アカウント乗っ取りに始まり、
ケース管理システムにアクセスされたことによって、
データ漏えいが発生しました。
漏えいしたデータは
ダークウェブに投稿されていましたが、
DDP Lawは英国国家犯罪庁から通知されるまで
漏洩の事実を認識していませんでした。
従って、本来はデータ漏洩発生から
72時間以内に行われるべき
ICOへの報告が43日後になってしまいました。
ICOの調査では、DDP Lawが適切な
セキュリティ対策を講じていなかったことが判明しました。
具体的には、多要素認証(MFA)の欠如、
2019年に廃止されたサービス用の古いアカウントの放置、
ITシステムのリスク評価の不実施などが問題とされました。
今回の事件は、一般市民の側に立って
適切な法執行を働きかける法律事務所が、
顧客である依頼人の機微なプライバシー情報を
適切に保護していなかったという法律違反を
犯していたという事態です。
サプライチェーンリスクが注目されている今、
法律事務所や会計事務所のような
業務委託先についてもサイバーセキュリティ対策
および情報保護対策の適切な実施を
確認しなくてはならないという
教訓を改めて与えてくれているように思えます。
※こちらは、執筆時点2025年4月23日での情報に基づいて書かれています。
従って、その後に明らかになった事などが
内容の充足度合いや正確さに影響を及ぼしている可能性が有ります。
弊社の社名となっている「レジリエンス」は、
「回復力」や「弾性」を意味する英単語です。
つまり、環境の変化や突発的な事象に対して
しなやかに粘り強く対応していく
立ち位置を意味しています。
目まぐるしく変化する時流の中で、
それを見極めつつ流されない解決策を
提案致します。
そして、弊社は、ITインフラとセキュリティの
プロフェッショナル集団として多数の実績を誇る
株式会社アイロバと密接なパートナー関係にあります。
同社はWAFのBlueSphereをはじめとした
国産独自開発のソリューションも多数保有し、
同時に、インターネットから脆弱性の露出状況を
把握できるSecurityScorecardの国内代理店でもあります。
【メルマガ監修】
サイバーレジリエンス株式会社 CTO 米沢 和希
■CISSP-ISSAP(情報システムセキュリティプロフェッショナル認定)
■CISA(公認情報システム監査人)
■PMP (プロジェクトマネジメントプロフェッショナル国際資格)
投稿者プロフィール
