岡山県精神科医療センターがサイバー攻撃とランサムウェア攻撃で個人情報漏洩 センターの対応の杜撰さと認識の甘さが浮き彫りに
2024年6月11日 岡山県精神科医療センターは5月に発生したサイバー攻撃とランサムウェア攻撃で、
患者の個人情報 最大約4万人分が漏洩した可能性を発表しました。同日記者会見も行われましたが非常に対応が杜撰で現段階でも認識が甘いです。
目次
問題点のサマリー
・ダークウェブ上にデータがリークされており、漏洩対象者へ2次被害が発生する可能性がある。
・サイバー攻撃の原因が、脆弱性の長期間放置というセキュリティに関する認識の甘さ
サイバー攻撃とランサムウェア攻撃の概要
5月19日午後4時頃に岡山県精神科医療センターおよび東古松サンクト診療所(岡山市北区)の電子カルテを含む総合情報システムで障害が発生。
20日に岡山県と岡山県警、厚生労働省へ連絡
20日 システム内に「暗号化させている。唯一の方法はここに連絡することだ」との英文メッセージとメールアドレスが記されているのが見つかる。
同21日に障害はランサムウェア攻撃が原因と見られることを公表
同22日に個人情報保護委員会にも報告。
6月1日 別の電子カルテシステムの利用を行い、診療継続
6月7日に岡山県警から個人情報の個人情報漏洩を確認。
個人情報漏洩の発覚経緯
6月7日(金)岡山県 県警本部から連絡を受け、県警本部にてセンターの保有する患者情報の流出を確認。
漏洩した可能性のある患者の個人情報
・患者情報 氏名、住所、生年月日、病名 等(最大 約40,000人分)
・病棟会議の議事録
引用
ダークウェブ上へのデータリークを確認
報道では、センターは身代金支払いで指定されたメールアドレスに連絡せず、県警に被害届を提出。岡山県警が6月7日、特殊な方法でしか閲覧できない「ダークウェブ」と呼ばれる闇サイト上に、個人情報が入ったファイルが掲載されていることを確認したという。
二次被害の恐れ
報道機関では、ダークウェブは一般人が閲覧できないサイトであるとしています。
そもそもダークウェブは悪意のある人間が多く閲覧しており、漏洩した対象の方へ2次被害が発生する可能性があります。
ダークウェブ上でのデータ漏洩について、センターの認識が引き続き甘い状態なら非常に危険です。
ダークウェブとは
ダークウェブはTorなどのP2P通信を行うアプリケーションを利用して接続する秘匿性の高いインターネット環境と検索エンジンで、Torのインストールやこれ自体へアクセスする事は違法ではありません。
ダークウェブは秘匿性が高く、アクセス者の身元を偽装でき 国の追跡が難しいため
・サイバー攻撃ツールの販売
・サイバー攻撃の依頼
・窃取した個人情報の販売
・児童ポルノの売買
・違法薬物の売買
・窃取した仮想通貨の売買
上記のような犯罪行為を行う人間が多く利用しています。
※合法的な利用としては、政府の監視を逃れて報道するニュースサイトの運営や企業の内部告発のリークサイト運営など。
また、ダークウェブは営利企業や国が管理しているわけではないので、漏洩・流出した情報は削除する事はできません。
もちろん大規模サイトは法執行機関により定期的にお取り潰しが発生し運営者が逮捕されますが、似たようなサイトは必ずリリースされます。
その為ダークウェブ上に個人情報が流れた時点で、悪用される危険性が非常に高いです。
想定される二次被害
住所が漏洩しているので、例えば以下のような手口で2次被害が発生する可能性もあります。
・「成年後見人に関する手続きで費用が必要」と嘘のDMを送付
・症例を暴露されたくなければ、金銭を支払えと直接脅迫
・「症状が改善するという嘘の薬」への勧誘
症例暴露の脅迫は、米国 ガン医療センターでのサイバー攻撃後に実際に発生しています。
症例暴露の2次被害の実例
ワシントン州シアトルにある非営利研究機関のフレッドハンチンソン ガン センターは2023年11月19日にランサムウェア攻撃の被害を受け、533 GBのデータが流出しました。
さらに2次被害として、ガン センターに通院していた複数の患者も脅迫を受け、そのうち1人は社会保障番号、病歴、検査室などの情報を削除するために50ドルを支払うよう求められました。
このように症例暴露の脅迫は医療系施設へ攻撃した後の常とう手段となっています。
浮き彫りになる対応の杜撰さ
報道によると2023年6月、自治体病院の全国組織から、病院の情報システムに外部から接続する際に使うVPN(仮想専用線)に関してサイバー攻撃に脆弱な機種の通知があり、センターの機器が該当すると判明。更新に向け業者と協議したが具体的な進展がなく、
今年4月以降は棚上げになっていたという。
メーカー側からも確実にパッチが提供もされていますが、
ずっとその脆弱性を放置していたため、今回のサイバー攻撃とランサムウェア攻撃による個人情報漏洩が発生しており、センターの対応の杜撰さが浮き彫りになっています。
海外ではランサムウェア攻撃で手術が延期に
2024年6月にロンドンの医療機関「Synnovis 」がランサムウェア攻撃によるサイバー攻撃の被害に遭い、一部診療機能や検査機能が停止しました。また、Synnovisのランサムウェア攻撃により、ロンドンの病院で数百件の手術が延期になっています。
徳島県つるぎ町立半田病院のランサムウェア攻撃も同様
徳島県つるぎ町立半田病院のランサムウェア攻撃を受けていますが、岡山県精神科医療センターと同様に認識の甘さが原因による被害でした。
徳島県つるぎ町立半田病院のランサムウェア攻撃の原因
・VPN機器(FortiGate 60E )の保守契約を設置業者と結んでいない
・FortiGate 60E の脆弱性(CVE-2018-13379)が約2年間放置されその脆弱性を突かれて攻撃されていた。FortiGate側からは再三に渡って、注意喚起されていたが保守契約を結んでいないので、VPN構築ベンダーからもパッチ適用がされなかった。
・Active Directoryでロックアウト設定がされていない