イギリスの過去最大のデータ漏洩事件トップ10【2026年版】

1. はじめに：なぜイギリスの組織にとってデータ漏洩がリスクとなるのか？#

データ漏洩はイギリスの組織にとってますます深刻な脅威となっており、過去1年間だけでも企業の半数近く（43%）と慈善団体の約3分の1（30%）が少なくとも1回のサイバーインシデントを経験しています。フィッシング攻撃は依然としてこれらの漏洩の主な原因であり、人的なセキュリティ対策の継続的な脆弱性を示しています。侵害されたデータの総量は依然として驚異的であり、2024年に公表された8,839件のインシデント全体で305億件以上の記録が漏洩しました。特に大企業はリスクが高く、2024年には大企業の74%と中堅企業の70%がデータ漏洩やサイバー攻撃を報告しています。財務への影響は深刻であり、漏洩1件あたりの平均は453万米ドルにのぼりますが、金銭的なコストにとどまらず、データ漏洩は消費者の信頼を損ない、組織の評判に時には取り返しのつかないほどのダメージを与えます。インシデントはますます頻繁に発生しており、組織の21%が毎月、18%が毎週のようにインシデントを経験しています。現在では年間119億ポンドの規模を持ち、58,000人以上の専門家を雇用するイギリスのサイバーセキュリティ部門の急成長は、強固なサイバー防衛の必要性が高まっていることを浮き彫りにしています。

このブログでは、イギリスの歴史上最も重大な10のデータ漏洩事件を分析し、それらがどのように発生したのか、その影響、そして将来の脅威から身を守るために組織が学ぶべき教訓を明らかにします。

2. なぜイギリスはデータ漏洩の魅力的な標的になるのか？#

世界最大級の経済規模を誇るイギリスは、以下のようないくつかの明確な要因により、サイバー犯罪者にとって魅力的な標的となっています。

2.1 主要な金融、法律、および小売組織の存在#

イギリスには、多数のグローバル金融機関、著名な法律事務所、主要な小売業者が拠点を置いており、これらはすべて、膨大な量の機密性の高い個人情報、財務情報、および企業データを管理しています。金融機関は詳細な顧客記録と高額な取引データを扱い、法律事務所は機密の事件ファイルや企業の機密通信を管理しています。小売業者は、支払いや個人情報を含む広範な消費者プロファイルを保持しています。これらの情報の機密性の高さと膨大な量は、個人情報の盗難、金融詐欺、またはダークウェブでの盗難データの転売による利益を狙うサイバー犯罪者にとって、これらの分野を特に魅力的なものにしています。そのため、これらの組織は常に高度なサイバー攻撃の主要な標的となり続けています。

2.2 急速なデジタルトランスフォーメーションと拡大する攻撃対象領域#

イギリスのダイナミックなハイテク分野と急速なデジタルトランスフォーメーションにより、あらゆる規模の企業において相互接続されたシステム、クラウドコンピューティング、デジタルプラットフォームの導入が加速しています。これにより業務効率とイノベーションが向上した一方で、サイバー犯罪者が利用できる攻撃対象領域（アタックサーフェス）も拡大しました。デジタル接続への依存度が高まることは、脆弱なアプリケーションや保護されていないシステムが1つでもあるだけで、組織のインフラ全体への侵入ポイントを攻撃者に提供してしまうことを意味します。イギリスの企業が（eコマースプラットフォームやクラウドベースのサービスからIoT（モノのインターネット）デバイスに至るまで）デジタルソリューションを導入し続けるにつれて、サイバー脅威にさらされる可能性は高まり、これらのデジタルな脆弱性を悪用しようとする悪意のある攻撃者にとって、企業は特に魅力的な標的となっています。

2.3 一貫性のない漏洩報告要件#

厳格な規制の枠組みを持つ他の多くの国とは異なり、イギリスには現在、すべての組織にあらゆるセキュリティ侵害の報告を義務付ける統一された法的義務がありません。このように報告環境が断片化されているため、サイバーセキュリティインシデントが大幅に過小報告される結果となることがよくあります。多くの漏洩、特に深刻度が低いと認識されているものや、組織の評判に悪影響を及ぼす可能性があるものは公表されないままであるため、イギリス国内のサイバー脅威の真の規模や範囲を正確に把握することは困難です。このような過小報告は、サイバーインシデントの全体的な影響を分かりにくくするだけでなく、効果的なサイバーセキュリティ対策の策定、脅威インテリジェンスの共有、そして新たな脅威へのプロアクティブな対応に向けた組織的な取り組みを遅らせる要因にもなっています。その結果、サイバー犯罪者は即座に検出されたり取り締まりを受けたりするリスクを減らしながら活動できることが多いのです。

3. イギリスにおける過去最大のデータ漏洩事件#

以下に、イギリスにおける過去最大のデータ漏洩事件のリストを示します。これらのデータ漏洩は、影響を受けたアカウント数の降順で並べられています。

3.1 Equifaxのデータ漏洩 (2017)

2017年5月から7月にかけて、Equifaxは約1,500万人のイギリスの顧客に影響を及ぼす深刻なデータ漏洩に見舞われ、イギリスで報告されたデータ漏洩としては過去最大規模となりました。この漏洩は、広く使用されているオープンソースのWebアプリケーションフレームワークであるApache Strutsの脆弱性が原因で発生しました。Equifaxが迅速なパッチ適用を怠った既知の脆弱性をサイバー犯罪者が悪用し、機密の個人データに不正にアクセスしました。侵害された情報には、氏名、生年月日、住所、電話番号、メールアドレス、運転免許証番号、クレジットカード情報の一部、および重要な信用情報が含まれていました。Equifaxは、インシデントの公表の遅れ、不十分なインシデント対応策、および甘いセキュリティプロトコルにより激しい批判を浴び、その結果、評判の低下、規制上の罰則、そして複数の高額な訴訟を引き起こしました。

防止策:

• 定期的かつ厳格な脆弱性評価を実施し、重要なセキュリティパッチを速やかに適用する。

• 高度な監視とリアルタイムの脅威検出機能を維持し、侵入を迅速に特定して対応する。

• 明確かつ迅速な情報公開プロセスを含む、堅牢なインシデント対応プロトコルを確立する。

3.2 Dixons Carphoneのデータ漏洩 (2017)#

2017年7月から2018年4月にかけて、イギリスの大手家電小売業者であるDixons Carphoneは、約1,000万人の顧客に影響を及ぼす重大なデータ漏洩に見舞われました。サイバー攻撃者は同社の内部処理システム（マルウェアに感染したPOS端末経由と報じられています）に不正アクセスし、氏名、住所、メールアドレス、約590万件の支払いカード情報などの機密個人データを流出させました。Dixons Carphoneは当初その規模を過小評価していましたが、その後の調査で漏洩の広範な影響が明らかになりました。イギリスの情報コミッショナー事務局（ICO）は後にDixons Carphoneに対して50万ポンドの罰金を科し、同社のサイバーセキュリティ対策の深刻な欠陥と、漏洩の検出および軽減における対応の遅れを指摘しました。

防止策:

• カード保持者のデータを保護するために、エンドツーエンドの暗号化とトークン化を用いて支払い処理システムを強化する。

• 高度な侵入検知および監視ソリューションを展開し、不審な活動を迅速に特定して対応する。

• 漏洩による影響と規制上の罰則を軽減するため、タイムリーなインシデント検出および報告手順を確保する。

3.3 EasyJetのデータ漏洩 (2020)#

2020年1月、イギリスを拠点とする航空会社のEasyJetは、約900万人の顧客の個人データを侵害する大規模なサイバー攻撃を受けました。攻撃者はEasyJetの予約システムに不正アクセスし（航空会社のITインフラの脆弱性を悪用した、高度で標的型の攻撃とされています）、顧客の氏名、メールアドレス、旅行予約の詳細、そして注目すべきことに、2,200人以上の個人についての支払いカード情報を入手しました。EasyJetは、影響を受けた顧客への通知を4か月も遅らせて公表を遅らせたことで批判を浴び、その結果、顧客は標的型フィッシング攻撃や詐欺のリスクにさらされることになりました。情報コミッショナー事務局（ICO）は調査に乗り出し、最終的にEasyJetのサイバーセキュリティプラクティス、特に漏洩の検出と対応手順に関する弱点を指摘しました。

防止策:

• 顧客の予約システムを保護するために、多要素認証（パスキーなど）を採用し、アクセス制御と認証プロトコルを強化する。

• リアルタイムの監視と侵入検知機能を実装し、不正アクセスを速やかに特定して被害を軽減する。

• 二次的な詐欺やフィッシング攻撃のリスクを低減するため、迅速で透明性の高い漏洩通知プロトコルを確保する。

3.4 国民保健サービス（NHS）のデータ漏洩 (2011)#

2011年7月から2012年7月にかけて、イギリスの国民保健サービス（NHS）は、約860万人の機密医療記録が入ったノートパソコンがNHSの施設から紛失した際、最も深刻なデータ漏洩の1つを経験しました。医療データ分析を扱うNHSの請負業者が所有していたこのノートパソコンには、氏名、生年月日、NHS番号、詳細な病歴など、非常に機密性の高い患者情報が含まれていました。ノートパソコンは単純なパスワードで保護されてはいたものの、暗号化されていなかったことが大きく問題視され、機密の患者記録への不正アクセスや悪用の可能性に関する重大な懸念が引き起こされました。

この漏洩は、規制当局、プライバシー擁護派、そして一般市民からの厳しい監視と批判を招き、NHSによる患者データの管理と保護の方法における深刻な脆弱性を浮き彫りにしました。調査の結果、NHSのデータガバナンスへのアプローチにおける組織的な障害、サードパーティの請負業者に対する不十分な監督、およびデータセキュリティポリシーに関する従業員の意識不足が明らかになりました。情報コミッショナー事務局（ICO）はNHSに多額の罰金を科し、このインシデントをきっかけに、医療機関内のデータ保護手順の全国的な見直しが行われました。さらに、この漏洩によって個人の健康情報の安全性に対する国民の不安が高まり、医療データ管理においてセキュリティ対策を強化する緊急の必要性に関する議論が活発化しました。

防止策:

• 機密の患者情報を保護するため、医療分野で使用されるすべてのポータブルデバイスおよびストレージメディアに対してフルディスク暗号化を義務付ける。

• NHSのデータを扱うサードパーティの請負業者に対する監督とセキュリティコンプライアンス監査を強化し、厳格なデータ保護基準の遵守を確保する。

• NHSのスタッフと請負業者に対して継続的かつ包括的なサイバーセキュリティトレーニングを提供し、機密の患者記録を管理し、データの損失や盗難を防ぐためのベストプラクティスを強調する。

3.5 Virgin Mediaのデータ漏洩 (2019)#

2019年4月から2020年2月にかけて、Virgin Mediaは、保護されていないマーケティングデータベースが誤ってパスワード保護なしでオンラインアクセス可能な状態のまま放置されていたことにより、重大なデータ漏洩を経験しました。氏名、自宅住所、メールアドレス、電話番号、サービス契約に関する詳細など、約90万人の顧客の機密個人情報が公開されました。この漏洩は社内で発見されましたが、Virgin Mediaは、設定ミスのあったデータベースを10か月近く公開したままにしていたことで批判を浴びました。このインシデントは、Virgin Mediaのデータガバナンスにおける重大な欠陥を浮き彫りにし、フィッシングのリスクや顧客データの悪用の可能性を高めました。影響を受けた顧客はその後、同社に対して訴訟を起こし、財務的および評判上の双方への影響を強調することとなりました。

防止策:

• すべてのデータベース、特に顧客の機密情報を含むデータベースに対して、厳格なセキュリティおよびアクセス制御手段を実装する。

• インフラストラクチャの設定を定期的に監査し、自動化ツールを使用して設定ミスを迅速に検出および修正する。

• 機密データおよびシステム設定の管理を担当する従業員に対して、包括的なサイバーセキュリティトレーニングを提供する。

3.6 JD Wetherspoonのデータ漏洩 (2015)#

2015年6月、イギリス最大かつ最も人気のあるパブチェーンの1つであるJD Wetherspoonは、約656,000人の顧客に影響を及ぼす大規模なサイバーインシデントに見舞われました。サイバー攻撃者は、同社の古いウェブサイトおよび顧客向けWi-Fi登録サービスに関連する古いデータベースの脆弱性を悪用しました。この漏洩により、氏名、メールアドレス、生年月日、電話番号などの機密個人情報が流出しました。さらに懸念されることに、約100人の顧客の支払いカード情報の一部も侵害され、金融詐欺の可能性に対する不安が高まりました。

JD Wetherspoonは情報の公表が遅れたことで激しい批判を浴びました。顧客と規制当局が漏洩について知らされたのは、発生からほぼ6か月後の2015年12月のことでした。この遅れは、影響を受けた個人が状況を知らされず、フィッシングや詐欺の試みに対して脆弱なままであったため、さらなる被害のリスクを著しく増大させました。この漏洩は、特にレガシーシステムの管理とデータ取り扱い手法に関する、同社のサイバーセキュリティ体制における致命的な弱点を浮き彫りにしました。また、ホスピタリティ業界全体で、データインシデント発生後のプロアクティブなセキュリティ対策と透明性のあるコミュニケーションの重要性に関する議論が巻き起こるきっかけともなりました。

防止策:

• 時代遅れのデータベースがさらされるリスクを減らすために、レガシーシステムを定期的に見直し、安全に廃止する。

• 堅牢なアクセス制御、暗号化、および監視手段を適用することで、データベースのセキュリティを強化する。

• 顧客の信頼を維持し、規制上の期待に応えるために、明確でタイムリーな漏洩報告手順を確立する。

3.7 ブリティッシュ・エアウェイズのデータ漏洩 (2018)#

2018年6月から9月にかけて、ブリティッシュ・エアウェイズは「Magecart」として知られる巧妙なサイバー攻撃により、約50万人の顧客に影響を及ぼす大規模なデータ漏洩に見舞われました。攻撃者は、同社のウェブサイトやモバイルアプリに悪意のあるスクリプトを挿入することで、ブリティッシュ・エアウェイズのオンライン決済システムを侵害しました。その結果、サイバー犯罪者は氏名、メールアドレス、支払いカードの詳細、CVV番号、予約情報を含む広範な個人情報と財務データを首尾よく収集しました。

ブリティッシュ・エアウェイズは、不十分なサイバーセキュリティ対策と、発見までに3か月近くを要した漏洩検出の遅れについて厳しく批判されました。イギリスの情報コミッショナー事務局（ICO）は当初、GDPRに基づくデータ保護規則の違反として、ブリティッシュ・エアウェイズに過去最高額となる1億8,300万ポンドの罰金を科す意向でした。しかし、この航空会社が調査に協力し、改善を実証した後、罰金は2,000万ポンドに減額されました。このインシデントは、ブリティッシュ・エアウェイズに重大な財務的および評判上の損害を与えただけでなく、航空および旅行分野のオンライン決済処理における脆弱性について、より広範な認識を引き起こしました。

防止策:

• 脆弱性を迅速に検出し排除するために、ウェブサイトおよび支払いゲートウェイのセキュリティテストを定期的に実施する。

• 悪意のある活動を即座に特定してブロックするために、堅牢なウェブアプリケーションファイアウォール（WAF）とリアルタイムの監視ソリューションを導入する。

• 特にサードパーティの決済ソリューションを統合する際には、セキュアなコーディング手法を採用し、厳格なベンダーリスク評価を行う。

3.8 Wongaのデータ漏洩 (2017)#

2017年4月、イギリスを拠点とする給料日ローン提供業者のWongaは、大規模なサイバー攻撃を受け、その結果、約245,000人の顧客の機密個人情報および財務情報が流出しました。攻撃者は、脆弱な内部統制や不十分な認証手段を通じて同社のシステムに不正アクセスした可能性が高く、顧客の氏名、メールアドレス、自宅住所、電話番号、銀行口座の詳細、および支払いカード情報の一部を抽出しました。この漏洩は、影響を受けた顧客に重大なリスクをもたらし、個人情報の盗難、フィッシング詐欺、および金融詐欺に対して無防備な状態に置きました。

Wongaは漏洩を発見後、顧客と規制当局に速やかに通知しましたが、このインシデントにより、同社のサイバーセキュリティ防御と顧客データの管理手法に深刻な懸念が生じました。調査の結果、Wongaのセキュリティインフラ、特にアクセス制御、脅威検出、および機密の財務データの暗号化基準における不備が明らかになりました。この漏洩はWongaの評判を著しく傷つけ、顧客の信頼を損ない、最終的には2018年の同社の財政難とその後の破綻の要因の1つとなりました。

防止策:

• 不正アクセスから保護するために、財務データおよび個人データに対して堅牢な暗号化と安全な保存手法を実装する。

• 漏洩を迅速に特定し、その影響を軽減するために、リアルタイムの監視および侵入検知機能を強化する。

• ベストプラクティスへのコンプライアンスを維持し、インシデント対応の準備を改善するために、定期的なサイバーセキュリティ監査と従業員トレーニングを実施する。

3.9 Three Mobile UKのデータ漏洩 (2016)#

2016年11月、イギリスの電気通信プロバイダーであるThree Mobileは大規模なサイバー攻撃を受け、約21万人の顧客の個人データが流出しました。この漏洩は、サイバー犯罪者が従業員のログイン情報を使用して、同社の顧客アカウントのアップグレードデータベースに不正アクセスしたことで発生しました。攻撃者の主な目的は、高価なモバイル端末を不正に注文して横取りすることであり、この計画を容易にするために顧客の個人情報（氏名、電話番号、住所、生年月日、アカウントの詳細など）を悪用しました。

Three Mobileは漏洩の発見後、速やかに行動を起こし、影響を受けた顧客に直ちに警告を発するとともに、規制当局に全面的に協力しました。しかし、このインシデントは、従業員の認証情報の管理、アクセス制御、顧客データの取り扱い手順などに関する同社の内部セキュリティ体制に対する懸念を引き起こしました。内部の脅威や従業員の認証情報を標的としたフィッシング攻撃がもたらすリスクが浮き彫りになり、社内の強力なサイバーセキュリティトレーニングと堅牢な認証メカニズムの必要性が強調されました。この漏洩は評判への損害をもたらし、通信業界に対して、標的型サイバー脅威から顧客データをプロアクティブに保護することの重要性を再認識させるものとなりました。

防止策:

• 顧客の機密データベースへの従業員のアクセスに対して、多要素認証（パスキーなど）を導入する。

• フィッシングの試みや内部の脅威を従業員が認識できるよう、社内のサイバーセキュリティトレーニングを強化する。

• データベースへの不正アクセスや不審な活動を迅速に特定するために、継続的な監視および異常検知システムを構築する。

3.10 TalkTalkのデータ漏洩 (2015)#

2015年10月、イギリスのブロードバンドプロバイダーであるTalkTalkは、同国の近年で最も注目を集めたデータ漏洩の1つを経験し、約157,000人の顧客の機密性の高い個人情報および財務情報が侵害されました。このサイバー攻撃はSQLインジェクションの脆弱性を介して実行され、攻撃者はTalkTalkの顧客データベースへの不正アクセスが可能になりました。漏洩したデータには、氏名、自宅住所、メールアドレス、電話番号、生年月日、銀行口座番号、およびソートコードが含まれており、影響を受けた顧客は個人情報の盗難や金融詐欺の深刻なリスクにさらされました。

TalkTalkは、不十分なデータベース保護や時代遅れのセキュリティ対策など、甘いサイバーセキュリティプラクティスについて激しい批判を浴びました。さらに、同社は漏洩の規模や詳細に関する初期の混乱についても精査され、それが顧客の不安と不満に拍車をかけました。この漏洩はTalkTalkの評判と消費者の信頼を著しく損ない、イギリスの情報コミッショナー事務局（ICO）は、同社が基本的なデータセキュリティ保護を実施していなかったことを理由に、過去最高額となる40万ポンドの罰金を科しました。このインシデントはイギリスの企業にとってサイバーセキュリティにおける大きな教訓となり、強力かつプロアクティブなデータ保護対策の重要性を浮き彫りにしました。

防止策:

• データベースやウェブアプリケーションを対象としたペネトレーションテストや脆弱性評価を含むセキュリティテストを定期的に実施する。

• SQLインジェクション攻撃から保護するために、入力検証やクエリのパラメータ化など、堅牢なデータベースセキュリティ対策を採用する。

• データベースへの不正アクセスを迅速に検出して軽減するために、リアルタイムの監視および対応能力を強化する。

4. イギリスのデータ漏洩における共通のパターン#

2026年までにイギリスで発生した過去最大のデータ漏洩事件を調査した結果、これらの漏洩全体で繰り返し見られるいくつかの傾向に気づきました。

4.1 検出と通知の遅れ#

複数のインシデントで観察された共通の傾向は、漏洩の検出と公表に大幅な遅れがあったことです。たとえば、JD Wetherspoonの漏洩は2015年6月に発生しましたが、2015年12月まで公表されず、顧客は何ヶ月もの間自分のデータが侵害されたことに気づきませんでした。同様に、Equifaxは2017年7月の初期の漏洩から2017年9月の公表までに長期間を要したことで激しい批判を浴び、攻撃者に機密データを悪用する十分な時間を与えてしまいました。Virgin Mediaの漏洩は、検出されるまで10か月近く続き、顧客の脆弱性を大幅に増大させました。このように公開されない暴露期間が長引くと、影響を受けた顧客が必要な保護措置を講じないまま攻撃者が盗んだ情報の悪用を続けるため、広範囲にわたる被害が生じる可能性があります。

4.2 時代遅れまたは設定が不適切なシステムの悪用#

イギリスの多くの漏洩は、レガシーシステムの不適切な管理、時代遅れのソフトウェア、またはデータベースの設定ミスに起因する脆弱性を浮き彫りにしました。Equifaxの漏洩では、パッチの適用管理が不十分であったために対処されないままになっていた既知の課題である、パッチ未適用のApache Strutsの脆弱性が悪用されました。Virgin Mediaは、マーケティングデータベースをパスワードやセキュリティ保護なしにほぼ1年間にわたりオンラインでアクセス可能な状態のまま放置しており、セキュリティ設定プロセスに重大なギャップがあることを示しました。同様に、TalkTalkは単純なSQLインジェクションの脆弱性によって被害を受けました。これは適切なコーディングとセキュリティ対策によって簡単に防ぐことができた攻撃です。これらのケースは、タイムリーなアップデート、安全な設定、脆弱性評価、厳格なパッチ管理といった基本的なサイバーセキュリティの衛生管理がしばしば軽視され、システムが不必要に危険にさらされていることを示しています。

4.3 標的となる財務情報#

イギリスの漏洩事件における一貫したテーマは、攻撃者の主なターゲットが財務データであることです。これは、サイバー犯罪者が財務情報に高い金銭的価値を置いていることを示しています。ブリティッシュ・エアウェイズとEasyJetの漏洩では、特にCVV番号を含む支払いカード情報の盗難が含まれており、顧客を即座に金融詐欺のリスクにさらしました。同様に、Dixons Carphoneの漏洩では約590万件の支払いカード情報が侵害されました。Wongaのインシデントでは、銀行口座の詳細と一部の支払いカード情報が流出しました。これらもまた、経済的利益、個人情報の盗難、または闇市場での転売を目的として機密データを取得するという攻撃者の明確な目的を示しています。この傾向は、暗号化、トークン化、すべての財務情報を保護する安全なトランザクションシステムなど、厳格な保護措置を実装することの重要性を示しています。

4.4 脆弱な内部セキュリティコントロールと従業員の脆弱性#

いくつかの漏洩事件は、内部セキュリティコントロールの不十分さと、従業員に対する不十分なサイバーセキュリティトレーニングを示しました。たとえば、Three Mobileの漏洩は、攻撃者が侵害された従業員の認証情報を使用した後に発生し、社内の認証情報管理の脆弱性を示すとともに、内部の脅威や認証情報を狙ったフィッシング攻撃のリスクを浮き彫りにしました。暗号化されていないノートパソコンの紛失によるNHSの漏洩は、データ処理、デバイス暗号化、およびスタッフのセキュリティ意識に関する内部ポリシーの脆弱さをさらに実証しています。これらのインシデントは、組織がしばしば内部のセキュリティ対策を過小評価していることを明らかにしています。これには、堅牢な認証方法（例：多要素認証）、従業員向けの定期的なセキュリティ意識向上トレーニング、機密情報の管理に関する明確なポリシー、および脅威をプロアクティブに検出・軽減するための厳格な内部監査プロセスが含まれます。

5. 結論#

アメリカにおける過去最大のデータ漏洩事件の分析と同様に、イギリスの歴史上最大のデータ漏洩事件は明白なパターンを示しています。それは、これらのサイバーセキュリティインシデントのほとんどは防ぐことができたということです。高度または複雑なサイバー攻撃の結果というよりも、多くの漏洩は、時代遅れのシステム、安全性の低いデータベース、検出の遅れ、不十分な従業員のサイバーセキュリティトレーニング、不十分な内部セキュリティコントロールといった基本的なエラーに起因していました。これらの防ぐことができたはずのミスにより、攻撃者は基本的な脆弱性を悪用し、機密データへの広範なアクセスを獲得し、何百万人もの個人を個人情報の盗難、金融詐欺、および標的型フィッシング攻撃の危険にさらしました。

あらゆる規模および分野のイギリスの組織にとって、教訓は明らかです。基本的なサイバーセキュリティ対策とプロアクティブな措置を決して軽視してはなりません。機密データを保護するには、厳格なシステムメンテナンス、堅牢な暗号化基準、迅速な脆弱性パッチ適用、財務情報の安全な取り扱い、および包括的な内部セキュリティプロトコルが必要です。企業がデジタルトランスフォーメーションを継続し、ますます膨大になる機密性の高い顧客データを扱うようになるにつれ、強力なサイバーセキュリティ基準を実施・維持する企業の責任はこれまで以上に重要になります。

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト：Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します（既存のIDPと併用）。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています（passkey有効化率+80%）。 Passkeyエキスパートに相談する →

よくある質問#

2011年のNHSデータ漏洩はどのように発生し、何人の患者が影響を受けましたか？#

2011年のNHSの漏洩は、約860万人分の記録が含まれた暗号化されていないノートパソコンがNHSの施設から紛失したことで発生しました。このデバイスはNHSの請負業者のもので、氏名、生年月日、NHS番号、詳細な病歴が含まれており、ディスク暗号化はなく単純なパスワードのみで保護されていました。

2018年のMagecart攻撃で、ブリティッシュ・エアウェイズはICOからいくらの罰金を科されましたか？#

ICOは当初、Magecart攻撃によりCVV番号を含む約50万人の顧客の支払いカード情報が漏洩したGDPR違反に対し、ブリティッシュ・エアウェイズに1億8,300万ポンドの罰金を科す予定でした。しかし、同社が調査に協力し、セキュリティの改善を実証したため、罰金は2,000万ポンドに減額されました。

イギリスの主要なデータ漏洩の原因として最も一般的なセキュリティの脆弱性は何ですか？#

イギリスの主要な漏洩事件における最も一般的な原因は、パッチが適用されていないソフトウェア、データベースの設定ミス、および侵害された従業員の認証情報です。Equifaxはパッチが適用されていないApache Strutsの欠陥から、TalkTalkは既知の脆弱性を悪用したSQLインジェクションから、Three Mobileは顧客のアップグレードデータベースにアクセスするために盗まれた従業員のログイン情報が使用されたことで侵害されました。

なぜTalkTalkの2015年のデータ漏洩は、ICOによる記録的な罰金につながったのですか？#

ICOは、2015年のSQLインジェクション攻撃によって、銀行口座番号やソートコードを含む約15万7,000人の顧客の個人情報および財務データが流出した後、TalkTalkに40万ポンドの罰金を科しました。当時の記録的な罰金の理由は、よく知られた攻撃手法に対する入力検証やクエリのパラメータ化といった基本的な保護措置をTalkTalkが講じていなかったことにありました。