不正アクセスにより個人情報流出、なりすましメールやマルウェア感染も確認|多摩北部医療センター



画像:東京都より

東京都は2019年5月20日、公益財団法人東京都保健医療公社が運営する医療機関「多摩北部医療センター」に所属する医師の端末およびメールアカウントが不正アクセスを受けたと明らかにしました。

不正アクセスの攻撃者は奪ったアカウントを悪用し、医師になりすましマルウェア感染を狙ったなりすましメールを送信。さらに、

  1. 医師のメールアカウント内の個人情報8,335件および宛先(15件)
  2. 添付ファイルに記録されていた患者・医療従事者の個人情報(合計3,656人)
  3. 端末からアクセスできるデータベースに記録されていた情報

などを盗み取った可能性があると説明しています。

攻撃を受けた原因などは、現在調査中。同医療センターは原因特定までの間、職務用端末への外部アクセスを制限する方針です。

米国サーバーからの攻撃

インシデントは2019年5月15日、多摩北医療センター内に向けて米国サーバーから不審なメールが送信され発生。その後2019年5月16日、都庁などに所属する職員に、なりすましメールが送信されるなどの事象が確認され、明らかになりました。

攻撃を確認した多摩北部医療センターは、医師の端末をネットワークから遮断し、警視庁などへ通報。2019年5月18日までに、送信元IPを特定し、攻撃を受けたメールサーバーへブロックを実施。影響を受けた人物らに連絡を完了したとしています。

インシデントの経緯は、下記の通りです。

2019年5月15日
17時56分
多摩北部医療センターにて、攻撃者による米国サーバーからの不審なメールを受信を確認
2019年5月16日
9時00分頃
都庁などで、攻撃者による複数のなりすましメールを確認
2019年5月16日
9時30分頃
攻撃を受けた医師の端末をネットワークから遮断
2019年5月16日
12時45分頃
多摩北部医療センターの内部ネットワークを調査
2019年5月16日
14時30分頃
警視庁へインシデント発生を通報
2019年5月16日
16時30分頃
通報を受けた警視庁職員などが公社事務局を訪問。状況調査を開始
2019年5月16日
21時01分
送信元IPを特定し、公社メールサーバーのブロックを実施
2019年5月17日 該当医師のメールボックス内を全件確認
2019年5月18日
5時20分
影響を受けた可能性のある人物らに連絡を完了

流出情報の内訳は?

今回のインシデントは、不正アクセスを受けた医師のメールボックス内および、医師の端末からアクセス可能なサーバーのデータなど、複数データベースから流出の懸念が生じている事案です。

想定される流出件数は、下記の通りです。

流出可能性のあるデータベース(攻撃者が閲覧可能だったと思われるもの)

  1. 医師のメールボックス内に保存されていたメール合計8,335件(添付ファイル含む)
  2. 医師の職員用端末内及び、端末からアクセスできるサーバーのデータ
  3. 医師の個人用端末内及び、端末からアクセスできるサーバーのデータ

1の流出項目のうち、24件のメールに記録されていた患者・医療従業者情報

内容 メールの件数 記録されていた情報件数 対象の情報内訳
本文にのみ個人情報が含まれるメール 14件 15件 氏名・生年月日・検査情報など
インフルエンザの患者情報(添付ファイル) 1件 3,463件 氏名・受付日・検査結果など
特定の疾病の患者のリスト(添付ファイル) 1件 126件 氏名・生年月日・発症日・症状等
民間医療従事者のリスト(添付ファイル) 1件 60件 氏名・住所・電話番号・メールアドレス
個別の患者の病名、症状等を記載した資料 7件 7件 病名、症状など

センター内の他の端末にも影響が生じた可能性

今回のインシデントにより、多摩北部医療センター内の他の端末にも影響が生じた可能性が示唆されています。

多摩北部医療センターがインシデント発覚後に実施したセキュリティ調査によると、センター内の全端末328台のうち、8台がマルウェアに感染し、10台に感染の疑いが見られると判明。

今回のインシデントとの関連性は明らかにされていませんが、センター側は今後、関連性を含め調査を進める方針です。

参照公益財団法人東京都保健医療公社が運用する端末等に対する不正アクセス被害の発生による、メールアドレス等の個人情報の流出と対応について(第一報)/東京都