サイバー犯罪
ランサムウェア攻撃から2年、病院はいまだ患者の特定と通知に奮闘中
Synnovicのランサムウェア攻撃による患者数の集計は、2年が経過した今も増え続けています。ミッド・アンド・サウス・エセックスNHS財団トラストは、同侵害に自組織が巻き込まれていたことを確認しました。
同トラストがThe Registerに語ったところによると、Synnovicの侵害によって、専門的な診断検査を受けた患者に関するおよそ2,380件の記録が影響を受けたとのことです。
この公表は、ベッドフォードシャー・ホスピタルズNHS財団トラストによる同様の発表に続くものです。同トラストは今月初め、約3万3,000件の患者記録が同じ侵害に巻き込まれたと発表していました。
ミッド・アンド・サウス・エセックスによると、侵害されたデータの一部はいまだ個々の患者と直接紐付けることができておらず、最終的な被害者数の確定には至っていないとのことです。また、盗まれた記録が対象とする正確な期間もいまだ確定していないとしていますが、攻撃が発生した2024年6月3日以降に検査を受けた患者は影響を受けていないとしています。
「正確な数については、まだ確認を待っている状況です」とミッド・アンド・サウス・エセックスの副最高経営責任者であるドーン・スクラフィールド氏はThe Registerに述べています。「患者が特定でき次第、影響を受けた方々に連絡を取る予定です。」
今回の公表は、この攻撃による長引く余波を浮き彫りにしています。Synnovicは昨夏末にフォレンジック調査を完了し、11月までに影響を受けたすべての組織に通知したと述べていました。
しかしミッド・アンド・サウス・エセックスは、通知を受けたのは2025年12月のことであり、それから6か月が経過した今も、侵害された記録に紐付く患者の特定に取り組んでいると述べています。
「通知すべき患者数を含む、患者への通知に関するあらゆる決定は、影響を受けた組織がアセスメントの一環として行うものです」とSynnovicの広報担当者は声明で述べています。「Synnovicはデータの処理者(Processor)として、患者への通知の要否・時期・規模に関するコントローラー(Controller)の判断に一切関与していません。」
同社は、盗まれた情報は断片的な性質を持つため個人に対する高いリスクはないと考えているとしながらも、影響を受けた組織がいまだ盗取内容や患者への連絡の要否を評価中であることを認めました。
今回の侵害は、NHSがこれまでに経験した中でも最も深刻なサイバーインシデントの一つです。Qilinによる攻撃はロンドン南東部全域の病理検査サービスを麻痺させ、病院は数千件の予約や手術をキャンセルせざるを得なくなりました。医師たちは血液検査や輸血サービスの遅延への対応に追われました。
その後、犯罪グループによる恐喝が失敗に終わると、患者データはオンラインで公開されました。
しかし、その影響は手術のキャンセルや血液検査の遅延にとどまりませんでした。昨年、キングス・カレッジ・ホスピタルNHS財団トラストは、この障害による遅延が患者の死亡に寄与したことを公式に認めました。これはランサムウェア攻撃に起因する死亡が正式に認定された最初期の事例の一つとなっています。®
