事例Use case

【Bitdefender海外ブログ】フィッシング攻撃で64万5,000人の個人保健データが危険にさらされていると警告

2019.10. 2

ツイート シェア 送る はてブ

oregon-dhs.jpeg

電子メールへのアクセス権がハッカーに渡り、機密情報が侵害される

オレゴン州社会福祉省(DHS)の職員数名がハッカーに欺かれ、数百万通もの電子メールへのアクセス権を付与してしまった結果、60万人を超えるユーザー個人情報がリスクにさらされているとの発表がありました。

DHSによると、2019年1月8日、9名の職員が、正式な政府通達を称した電子メールに含まれていたリンクを誤ってクリックしてしまい、当該事件の発生に至ったとのことです。

なりすましフィッシングメールにだまされ、職員が自分のパスワードを入力してしまい、十分に保護すべきログイン資格情報がハッカーに流出しました。

1月28日に職員がメールボックスへのアクセスに気付き、社会福祉省と行政サービス省エンタープライズセキュリティ局がこのセキュリティ侵害について確認したところ、既に200万通ほどの電子メールに対するアクセス権がハッカー渡っていることが判明しました。

これらの電子メールには、機密性の高い保健関連情報、氏名、生年月日、社会保障番号、住所、ケースナンバー、その他の情報が含まれていました。

侵害被害にあったユーザー情報の大部分は、報告書など電子メールの添付ファイルでした。個人の保健情報には、医療保険の携行性と責任に関する法律(HIPAA)の適用対象である保護対象保健情報(PHI)が含まれますが、対象ユーザーに関するこれらすべての情報が侵害されたわけではありません。

児童福祉や自立支援、高齢者・障害者支援など、さまざまな福祉施策を監督するオレゴン州DHSではハッカーによるさらなるアクセスを防ぐため、職員のパスワードを直ちにリセットしたと報告しています。また、オレゴン州警察にも通報しています。

しかし、個人情報がハッカーの手に渡ったと対象ユーザーに通知されるまでだいぶ時間がかかっています。

オレゴン州DHSは、調査にこれほどの時間がかかった理由についてFAQにて次のように述べています。

「今回のような事件の場合、インシデントが実際に発生したかどうかの調査から、関連情報の収集、対象ユーザーの特定、またこれらのユーザーに提供されているサービスについて、適切な意思決定を行う必要があるため時間がかってしまいます。メールボックスへのアクセスは無事停止できましたが、関連するおよそ200万通もの当該電子メールをすべて徹底的に確認し、DHSのユーザー個人情報が含まれた電子メールの具体的な数を把握するにはどうしても時間がかかります。」



なりすましメールによる侵害をどのように防ぐべきか

DHSの広報担当者Robert Oakes氏は、今回のセキュリティ侵害を「極めて高度な電子メール攻撃」であると述べています。

現在オレゴン州DHSでは、事件の内容を筆者よりも詳細に把握しているのは明らかですが、一見したところそれほど高度な攻撃とは思えません。

なりすましフィッシング攻撃という、職員に関連があると思わせるよう巧妙に細工された電子メールを作成し、実際の送信元をうまく隠し、信頼の得られそうな送信元を装うといった手口は一般的であり、そう珍しいことではありません。

完全に防ぐことは難しいですが、組織の外部から送信された電子メールにはマーク付けする等のルール設定や、許可されていないサイトではパスワードの入力が拒否されるパスワード管理ツールの導入、多要素認証を導入するなど、さまざまな方法でなりすましフィッシング攻撃のリスクを軽減することは可能です。

オレゴン州社会福祉省は対象ユーザーに対し、個人情報の窃盗保護を提供しています。

翻訳元記事:645,000 people warned their personal health data at risk after phishing attack

個人情報を扱う医療機関は狙われている

2019年5月に都内の医療センターで、医師のパソコンが外部からの不正アクセスを受け、8,000件以上のメールが流出した可能性があることが判明しました。このメールには、受診している患者の氏名や症状などのリスト、などが含まれていたということです。

公益財団法人東京都保健医療公社が運用する端末等に対する不正アクセス被害の発生による、
メールアドレス等の個人情報の流出と対応について(第一報)
http://www.metro.tokyo.jp/tosei/hodohappyo/press/2019/05/21/01.html

医療情報を守るにはどうしたらいい?これ一台で安心!

SECURIEなら、ネットの入り口に設置するだけで、ネットワークを見える化し、すべての機器を保護します。PCやスマホはもちろん、セキュリティソフトを入れることができないNASやウェブカメラなども、フィッシング攻撃・ランサムウェア・不正アクセスの被害から守ります。

securie_service_TS2020.PNG