2025年2月18日 医療法人DIC 宇都宮セントラルクリニックは、同院のサーバーがランサムウェア攻撃を受けたことを公表しました。これにより、最大30万人分の個人情報が外部へ漏えいした可能性があるとし、患者や関係者に対して注意を呼びかけています。
また、同院の診察および健康診断業務も引き続き制限される見通しです。
2025年3月5日追記:ランサムウェア 攻撃 グループ Qilinが宇都宮セントラルクリニックへの不正アクセスと情報窃取を主張
目次
ランサムウェア被害の経緯
2025年2月10日、宇都宮セントラルクリニックの院内システムに障害が発生。
その後の調査で、サーバーがランサムウェア攻撃を受けたことが判明。
なお、現時点において、情報の不正利用等は確認されていないとの事
漏えいの可能性がある個人情報
今回の攻撃により、最大約30万人の患者および同院関係者の個人情報が記録されたサーバーが影響を受けました。
ただし、金融機関の口座情報やクレジットカード情報、マイナンバー情報は含まれていないとされています。
患者情報
- 氏名、生年月日、性別
- 住所、電話番号、メールアドレス
- 診療履歴、健康診断に関する情報
医師・看護師・従業員の情報
- 氏名、生年月日、性別
- 住所、電話番号
現時点では、情報の不正利用は確認されていませんが、今後も調査を進めていくとのことです。
参照
不正アクセスに伴う情報漏えいの可能性および当面の業務制限について
漏洩している場合、症例暴露や脅迫のフィッシングメール、DMに注意
今回情報の不正利用は確認されていないとの事ですが、仮にこういった情報が漏洩してしまうと症例暴露の脅迫に利用する2次被害の恐れがあります。
実際、ワシントン州シアトルにある非営利研究機関のフレッドハンチンソン ガン センターは2023年11月19日にランサムウェア攻撃の被害を受け、533 GBのデータが流出しました。
2次被害として、ガン センターに通院していた複数の患者も脅迫を受け、そのうち1人は社会保障番号、病歴、検査室などの情報を削除するために50ドルを支払うよう求められました。
このように症例暴露の脅迫は医療系施設へ攻撃した後の常套手段となっています。
今回情報の不正利用は確認されていないとの事ですが、今後も動向を注視する必要があります。
病院へのサイバー攻撃事例
2024年5月19日、岡山県精神科医療センターは大規模なランサムウェア攻撃を受け、電子カルテを含む病院情報システムが完全に機能停止し約4万人の個人情報漏洩の可能性を発表しました。
また2022年10月年徳島県つるぎ町立半田病院はロックビットに不正アクセスされ診療機能が停止し大きなニュースとなりました。
関連記事
秋田大学の看護師が患者の電子カルテを不正閲覧、別の看護師はクレジットカードを不正利用
岡山県精神科医療センターの個人情報漏洩は「人災」 ランサムウェアによるサイバー攻撃の調査報告書を発表
岡山県精神科医療センターがサイバー攻撃とランサムウェア攻撃で個人情報漏洩 センターの対応の杜撰さと認識の甘さが浮き彫りに
白崎コーポレーションが不正アクセスとランサムウェア攻撃の被害 個人情報漏洩の可能性
ランサムウェアの事例 【2024年】
KADOKAWAがランサムウェア攻撃とサイバー攻撃で約25万人の個人情報漏洩を発表
岡山県精神科医療センターがサイバー攻撃とランサムウェア攻撃で約4万人の個人情報漏洩の可能性
大塚商会が取扱商品メーカーの白崎コーポレーションのランサムウェア感染により8千件の顧客情報漏洩の可能性
税理士法人夏目事務所が不正アクセスとランサムウェア 被害の第一報を公表