医療機関で発生したデータ流出
2019 年 10 月 11 日 Emil Hozan 著
2019 年6 月に米国の医療機関である The Methodist Hospitals, Inc が、従業員のメールアカウントの不可解なアクティビティを発見しました。同機関は直ちに調査に着手し、第三者にフォレンジック調査を依頼して、問題の範囲を解明することにしました。2019 年 8 月 7 日の調査によって、従業員 2 名がフィッシングメールの被害に遭い、認証されていない人物によってメールアカウントがアクセスされていたことがわかりました。
あるアカウントは、2019 年 6 月 12 日と 7 月 1 日 ~ 8 日までの間に不正アクセスされ、別のアカウントも 、2019 年 3 月 13 日 ~ 6 月 12 日までの間に不正アクセスをされていたことがわかりました。現段階で悪用しようとした形跡はありませんが、The Methodist Hospitals, Inc. は、この期間中に機密データにアクセスされていた可能性も否定できていません。
流出した可能性がある情報としては、「氏名、住所、健康保険加入者、団体、プラン番号、団体識別番号、社会保障番号、運転免許/州の ID 番号、パスポート番号、銀行口座番号、クレジットカード情報、電子署名、ユーザ名とパスワード、生年月日、診療記録番号、CSN 番号、HAR 番号、Medicare/Medicaid 番号、治療/診断情報」が含まれます。
学ぶべき教訓
人事部や外部の人と働く可能性のある従業員にとって、フィッシングに対するトレーニングは極めて重要です。継続的なトレーニングと実際に発生したフィッシングメールの実例は、自分は安全だと思っている被害者がこういった攻撃の犠牲にならないようにするための助けになります。このブログでも、Trevor Collins が最近体験した Netflix のフィッシングメールについて紹介して紹介して紹介しています。
さらには、多要素認証ソリューションをどのようなサービスにも組み合わせて利用することを強くお勧めします。多要素認証を同時に利用すれば、パスワードが不正取得されてしまったとしても、追加の認証要素が必要であるため、それほど大きな問題ではなくなります。ウォッチガードの AuthPoint は、プッシュ通知を使って、ユーザに不正ログインの試行を通知し、サービスへのアクセスを許可または拒否できます。万全のセキュリティ対策を心掛けましょう。