事故から学ぶ

不正アクセスで患者情報等3,671件が流出、二次被害の懸念も。また多摩北部医療センター

事故概要

業種 多摩北部医療センター
発生時期 2019/05/20
漏えい人数 3,671人
事故概要

東京都保健医療公社多摩北部医療センターは2019年5月20日、所属医師のPC端末が何者かの不正アクセスを受け、メールアカウントが乗っ取られたと発表した。
攻撃者はアカウントを乗っ取り、医師になりすまして、官公庁など政府機関にメールを発信。メールにはマルウェアが添付されており、二次被害を狙ったものと見られている。さらに患者や医療関係者らの個人情報についても、流出の懸念が生じている。
男性医師は患者や医療関係者ら3,671件の情報も有しており、攻撃者の手に渡った可能性があるとのこと。患者情報は氏名や生年月日の他に、病歴などセンシティブ情報も含まれていることから、流出の影響が危ぶまれている。

引用元 多摩北部医療センター

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-7 (第20条)安全管理措置 パソコン利用教育(パスワード管理)
22-24 (第22条)委託先の監督 社内規則の整備(外部サービス利用)

チェックリストにある要求ルール:

パスワードは自分の名前、電話番号、誕生日など推測されやすいものを避けて複数のウェブサイトで使いまわしをしないなど、強固なパスワードを設定していますか?
パスワードを紙に書いて机の引き出しに入れたり、他人から見やすい場所に貼っていませんか?人に教えたりしていませんか?

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?

■ 推奨対策

対策:

今回の事例はなりすましメールである。
このところメールの乗っ取りが急増した。乗っ取りの手口が共有化されたり、あるいは同一犯が学校ばかりを狙っている可能性がある。学校が発行する学生や教職員用のメールアドれるは、目的を持って調べれば誰でも知ることができる。そのアドレスに対し簡単に類推できるパスワードを組み合わせると本人になりすますことができ、さらに学内や企業内のファイルサーバにも入る込める可能性がある。不正を試みる犯人たちは、数万件に及ぶ「よく使われるパスワードリスト」をすでに入手しており、機械的にパスワードをメールアドレスにぶつけて一致させるアプリケーションもネット上に多数存在しているので、ある意味では誰でもなりすましできてしまう材料は揃っている。

具体例:

パソコンを使用するときに求められるIDPW.特にIDにメールアドレスを使っているケースが散見されるが、以外にセキュリティーホールにもなっている。利用者が覚えやすい、という理由で簡便な連続文字や、誕生日などを使っていれば、メールアドレスだけあればその会社の社内システムに簡単にログインできる可能性が高くなる。ファイルなどの置き場所や社員専用サイトのURLは大体どの会社も似たようなアドれるであり、ましてやクラウドサービスであればあらかじめセットされたURLを使っているので、不正アクセスをする側から見たら、やりやすい手段のひとつである。今回の実質被害は不明だが、パスワード一つで大きな損害を招きかねない、という事例である。社員に徹底する内容がまた増えた。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。