英国の外務省が「深刻なインシデント」の対象となり、緊急のサイバーセキュリティ支援を要請せざるを得ない事態となっていたことがわかった。
このインシデントは、最近発表された公開入札書類で確認されたものだ。現地時間2月4日に公開されたこの書類では、外務・英連邦・開発省(FCDO)が、サイバーセキュリティの契約先であるBAE Applied Intelligence(BAEアプライド・インテリジェンス)社に「緊急の業務支援」を要請したことが明らかになっている。
この通知によると、FCDOは、2022年1月12日に締結された「当局のサイバーセキュリティインシデントを分析するためのビジネスアナリストおよびテクニカルアーキテクトの支援」を行う契約を発行した後、同社の援助に対し46万7325.60ポンド(約7300万円)を支払っている。
しかし、これまで公表されていなかったこの事件の詳細は、依然として不明のままだ。
「当局は深刻なサイバーセキュリティインシデントの対象となったが、その詳細は公表できない」と、この書類には書かれている。「このインシデントを受けて、修復と調査をサポートするために緊急の支援が必要となった。この業務の緊急性と重要性のため、当局は一般手続きや制限手続き、あるいは競争的交渉手続きの期限を遵守することができなかった」。
BAEとの契約については、The Stack(ザ・スタック)によって初めて報じられた。
名前を明かさなかったFCDOの広報担当者は、TechCrunchに対し、同局はセキュリティについてはコメントしないが「潜在的なサイバーインシデントを検知し、防御するためのシステムを持っている」と語った。この広報担当者は、機密情報へのアクセスがあったかどうかなど、この事件に関する詳しい質問には答えなかった。
TechCrunchは英国のデータ保護当局にも連絡を取り、この事件が報告されたかどうかを確認したが、まだ回答は得られていない。
なお、今回明らかになった事件が報じられる数日前には、国際的な文化交流と教育機会の促進を専門とする英国の公的機関であるBritish Council(ブリティッシュ・カウンシル)でも、重大なセキュリティ上の過失が発覚している。Clario(クラリオ)のセキュリティ研究者が、保護されていないMicrosoft Azure(マイクロソフト・アジュール)のストレージ・サーバー上に14万4000の暗号化されていないファイルを発見したが、その中にはブリティッシュ・カウンシルの学生の個人情報やログイン情報が含まれていたのだ。
2020年12月には、サセックス州にあるFCDOの執行機関であるWilton Park(ウィルトン・パーク)がサイバー攻撃を受けており、英国の国立サイバーセキュリティセンターによる調査の結果、データが盗まれた証拠はないものの、ハッカーが6年間にわたって同機関のシステムにアクセスしていたことが判明している。
画像クレジット:Chris J. Ratcliffe / Getty Images
[原文へ]
(文:Carly Page、翻訳:Hirokazu Kusakabe)
