事例Use case

【Bitdefender海外ブログ】高度なフィッシング詐欺によりモンタナ州の病院で12万9000人分の医療記録が流出

2020.5.14

ツイート シェア 送る はてブ

pexels-photo-1250655-990x660.jpg

標的型攻撃によって従業員が情報流出経路に

モンタナ州カリスペルの医療機関で世間体の悪いデータ漏えい事故が発生しました。12万9,000人分の医療記録が流出し、患者が情報盗難やなりすまし犯罪の危険にさらされています。

カリスペル地域医療(Kalispell Regional Healthcare, KRH)が漏えいに気付いたのは2019年6月でしたが、その後の調査によると2019年5月24日にはすでにフィッシング詐欺師が、患者の医療記録を盗み出していたことが明らかになりました。地元報道機関Flathead Beaconが入手した同病院から患者に宛てた手紙によると、流出は組織的な標的型フィッシング攻撃によるものでした。

複数の従業員は、フィッシング詐欺師とは知らずに自らのEmailログイン認証を提供していました。詐欺師たちは患者の名前、住所、医療記録番号、誕生日、電話番号、Emailアドレス、医療記録、診察情報、診察日、担当医・嘱託医、医療費口座番号・健康保険情報などの個人情報にアクセスできるような状態でした。さらに病院によると、250名もの患者は、社会保障番号も盗まれた可能性があります。

Craig Lambrecht最高経営責任者兼理事長は患者に宛てた手紙の中で、「非常に高度」な攻撃だったと伝えています。同病院は詐欺に気づくとすぐに従業員のアカウントを無効にし警察に通報、デジタルフォレンジック調査で名高いニューヨークにある企業の助けを借り調査に乗り出しました。

さらにその手紙では、これほど深刻なデータ流出であれば当然かもしれませんが、被害を受けた患者に無料のクレジットモニタリングサービスを提供し、登録方法についても伝えています。

病院を標的にしたサイバー攻撃の目的は、主に2種類に分けられます。医療機関を(ランサムウェアなどで)ゆするか、もしくは医療記録を抜き取りダークウェブで詐欺師に売りつけるかのどちらかです。同病院がクレジットモニタリング費用を肩代わりしたのは、言うまでもなく患者を詐欺から守るためです。

同病院のITディレクターであるMelanie Swenson氏は、10月22日付の報道機関によるインタビューで以下のように述べています。「脅威アセスメント調査とコンプライアンス監査を毎年実施し、サイバー事故の回避や取り組みに十分に備えてきました。サイバー攻撃がますます巧妙になるにつれ、私たちもサイバーセキュリティを強化してきたつもりです。しかし、基本的な日々の業務対応や、従業員の自己管理に任せていた結果、脆弱性が少しずつ生じてしまいました。」

ここ数年の研究が示す通り、サイバー脅威を見破るための定期的な従業員研修を実施する必要があります。従業員は一般的にサイバー攻撃に対する防御の最前線にいますが、同時に組織のITインフラの中では最も弱い部分であるため、フィッシング詐欺は最も蔓延しているサイバー攻撃の1つとなっています。

翻訳元記事 Montana hospital leaks 129,000 patient records in sophisticated phishing scam

個人情報を扱う医療機関は狙われている

日本でも、医療機関が不正アクセスやウイルス感染などの被害を受け、電子カルテシステムに影響が出たり、患者情報が含まれるメールが流出した可能性があることが判明しました。

【事例1】
2019年5月に都内の医療センターで、医師のパソコンが外部からの不正アクセスを受け、8,000件以上のメールが流出した可能性があることが判明しました。このメールには、受診している患者の氏名や症状などのリスト、などが含まれていたということです。

公益財団法人東京都保健医療公社が運用する端末等に対する不正アクセス被害の発生による、
メールアドレス等の個人情報の流出と対応について(第一報)
http://www.metro.tokyo.jp/tosei/hodohappyo/press/2019/05/21/01.html

【事例2】
2019年5月、長崎県佐世保市の佐世保共済病院で、院内の複数のパソコンがコンピューターウイルスに感染。新規患者と救急患者の受け入れができないなど、診察に支障が出ました。

佐世保共済病院で院内PCがウイルス感染、新規患者の受け入れ困難に
https://xtech.nikkei.com/atcl/nxt/news/18/05146/

自分をサポートする技術を使おう

フィッシング詐欺のように、見えない、判別しにくい脅威には、専用のセキュリティを利用することをお勧めします。SECURIEなら、ネットの入り口に設置するだけで、ネットワークを見える化し、すべての機器を保護します。PCやスマホはもちろん、セキュリティソフトを入れることができないNASやウェブカメラなども、フィッシング攻撃・ランサムウェア・不正アクセスの被害から守ります。クリニックや調剤薬局等におすすめです。

SECURIE_200514.PNG