160万人に飲料水を供給する英国の公益事業会社が、ITパフォーマンスの低下を通じて侵入が発覚するまで、約2年間ハッカーがコンピューターネットワーク内に潜伏していたことを発見できなかったと、英国のデータ保護規制当局が発表しました。 ### ICO、South Staffordshire Waterに罰金 **情報コミッショナー事務所（ICO）**は、**Cl0p**ランサムウェアグループによる攻撃により、2022年8月に633,887人の顧客と従業員の個人データが公開されたことに対し、**South Staffordshire Water**に月曜日、963,900ポンド（130万ドル）の罰金を科しました。 罰金通知によると、最初のアクセスはほぼ2年前の2020年9月に発生しました。当時、従業員がマルウェアの添付ファイルを開き、攻撃者が企業ネットワークに侵入するための足がかりとなるソフトウェアをインストールしました。 その後、攻撃者は2022年5月まで潜伏していましたが、システムへの最高レベルのアクセス権限であるドメイン管理者アカウントを使用して、ネットワーク内を横断的に移動し始めました。 同社は、ITパフォーマンスの問題が内部調査を促した2022年7月まで、この侵入を特定できませんでした。2週間後、同社は攻撃者が一部の従業員に配布しようとして失敗したランサムノートを発見しました。 インシデント後、South Staffordshireはダークウェブ上で約4.1テラバイトのデータが公開されていることを検出し、その中には氏名、住所、生年月日、銀行口座番号とソートコード、国民保険番号、そして同社のプライオリティサービス登録簿に登録されている一部の顧客については、障害が推測される可能性のある情報が含まれていました。 ### セキュリティの不備が露呈 ICOの調査により、4つの具体的なセキュリティ上の不備が特定されました。その中には、ユーザーのアクセスを役割に必要なものだけに制限する標準的な制御である「最小権限の原則」を実装していなかったことが含まれており、これにより攻撃者はドメイン管理者アカウントを使用してネットワーク内を自由に移動できました。 攻撃者が最初にアクセス権を取得してから1年以上経過した2021年12月時点で、アウトソースされたセキュリティオペレーションセンターは、同社のIT環境のわずか5%しか監視していませんでした。ICOの報告書では、サードパーティは特定されておらず、エンドポイントテレメトリとログ記録が同社のセキュリティ監視プラットフォームに統合されていなかったと述べられています。 一部のデバイスは、2015年7月に延長サポートが終了したオペレーティングシステムである**Windows Server 2003**を実行したままでした。 ICOが2020年9月から2022年5月までの期間に実施された内部または外部の脆弱性スキャンの記録を提供するよう求めたところ、同社はどちらのカテゴリにもそのようなスキャンは存在しないことを確認しました。 さらに、2つのドメインコントローラーは、特権の急速なエスカレーションを可能にし、2020年8月に最初に公開された**ZeroLogon**として知られる重大な脆弱性に対してパッチが適用されていませんでした。攻撃者はこの脆弱性をインシデント中に悪用しました。 ICOの規制監督担当暫定執行ディレクターであるIan Hulme氏は、「パフォーマンスの問題やランサムノートを待ってから侵害を発見するのは容認できません」と述べ、「プロアクティブなセキュリティは法的要件であり、オプションの追加機能ではありません」と付け加えました。 ### インシデントの詳細と反応 この侵害は、2022年8月に公になりました。その際、不手際な恐喝の試みの中で、**Cl0p**グループは、ロンドンとその周辺で約1500万人にサービスを提供する別の水道事業者である**Thames Water**からデータを盗んだと主張しました。 当時、同グループは水道水の化学組成を変更できると主張していましたが、South Staffordshireはこれを否定しました。罰金通知には、運用システムや水処理システムへの侵害に関する言及はありません。 ICOは、違反を中程度の深刻度と位置づけ、South Staffordshireの協力、早期の責任の承認、および緩和策を考慮して、罰金額を減額しました。さらに、裁量による減額も適用されましたが、その理由は公開通知では削除されています。 South Staffordshireは今年初めに自主的な和解に入り、40%の割引を確保し、ICOの決定に異議を申し立てないことに同意しました。 ### 英国の水道事業者に対するサイバー攻撃の増加 この罰金は、英国の水道事業者がサイバー攻撃の増加に直面している中で発表されました。Recorded Future Newsが2025年11月に情報公開法に基づき入手した数字によると、2024年1月から2025年10月までの間に、飲料水監督局に報告されたインシデントは5件で、これは2年間の期間としては過去最多です。 これらの報告は自主的なものでした。現在のNIS規制では、水道事業者は供給に実際の混乱を引き起こしたサイバーインシデントのみを当局に通知する必要があります。2022年に公になったSouth Staffordshireの侵害は、この基準を満たしていませんでした。 英国政府のサイバーセキュリティ・レジリエンス法は、義務的な報告要件を拡大し、重要インフラ事業者のセキュリティ基準を向上させることを目的としており、今年中に議会に提出される予定です。 ### 水道インフラに対する世界的な影響 英国の水道会社が使用するITオフィスシステムに対するランサムウェア攻撃（上記の英国の報告を行った企業やスペインのAigües de Mataróを含む）はありますが、水道事業者に対するサイバー攻撃が実際にサービスを混乱させることは非常にまれです。 運用技術（OT）コンポーネントに対する攻撃が成功したまれなケースとして、2023年12月、アイルランド西部の遠隔地の住民は、イラン寄りのハッカーグループがイスラエル製であると不満を漏らした機器を使用した施設を無差別に標的としたため、数日間断水しました。 米国連邦政府は、多くの水道セクターの組織で使用されている**Unitronics**製プログラマブルロジックコントローラー（PLC）の悪用に関する警告を発行しました。多くの産業制御システムの中核技術コンポーネントであるPLCに対する攻撃は、重要インフラの防御者にとって主な懸念事項の1つです。 米国の水道システムのセキュリティを改善する取り組みは、バイデン政権下で、ランサムウェア攻撃や国家支援による侵入の増加にもかかわらず、水道業界団体が共和党議員と協力して連邦政府の取り組みを阻止したため、停滞しました。 昨年、カナダ当局は、ハクティビストが1つの地方水道事業者の水圧を変更したインシデントについて警告しました。これは、産業制御システムを妨害する一連の攻撃の一部でした。 South Staffordshireの最高経営責任者であるCharley Maher氏は、「2022年に当グループが経験したサイバー攻撃に関する情報コミッショナー事務所の決定を受け入れ、顧客と従業員に心配と懸念を引き起こしたことをお詫び申し上げます。私たちは、インシデントを封じ込め、影響を受けた人々を支援し、再発のリスクを軽減するために即座に行動しました。 「私たちは、サイバーセキュリティのレジリエンス、ガバナンス、および監視をさらに強化するために多額の投資を行っており、脅威の状況が進化するにつれて能力を向上させ続けています。顧客と従業員の情報を保護することは、私たちが非常に真剣に受け止めている責任であり、このインシデントから学び、グループ全体で強力な保護措置を維持することに引き続き注力していきます。」 <a href="https://www.recordedfuture.com/platform?mtm_campaign=ad-unit-record" rel="noopener noreferrer">詳細はこちら。</a> <a rel="noopener" href="https://therecord.media/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a> <a href="https://therecord.media/author/alexander-martin"><img src="https://cms.therecord.media/uploads/headshot_79eb085f87.jpeg" data-nimg="1" decoding="async" height="384" width="384" loading="lazy" alt="Alexander Martin"></a>