病理サービスプロバイダーのSynnovisは、2024年6月に発生したランサムウェア攻撃により、複数のロンドンの病院の運営が混乱し、患者の個人情報が盗まれたことを確認しました。
King’s College Hospitals NHS Trust、Guy’s and St Thomas’ NHS Foundation Trust、SYNLABのパートナーシップとして設立されたこの組織は、主にロンドン南東部の病院に病理検査サービスを提供しています。
Synnovisへのランサムウェア攻撃は2024年6月3日に発生し、すべてのITシステムに影響を及ぼし、サービスが中断され、病院が手術や診療を中止し、患者を受け入れられなくなる事態となりました。
Synnovisは身代金を支払わず、当局やサイバー専門家と連携して攻撃の封じ込めと調査を行いました。影響を受けたITインフラをゼロから再構築し、2024年末までにすべてのサービスを復旧させました。
2024年6月20日、Qilinランサムウェアグループがこの攻撃の犯行声明を出しました。同グループは、Synnovisから盗んだとされる約400ギガバイトのデータを公開しています。
「事件発生時、データはSynnovisの作業用ドライブから急いで無作為に盗まれました。主要な検査室データベースからはデータは持ち出されていません」と病理サービスプロバイダーは説明しています。
「Synnovisは影響を最小限に抑えるため、患者、職員、サービス利用者を保護し、データのさらなる公開を防ぐための差し止め命令を取得するなど、緊急の措置を講じました」と述べています。この差し止め命令により、共有されていた場所からデータを削除することができました。
Synnovisによると、盗まれた情報の種類の調査には1年以上かかりました。なぜなら、そのデータは「非構造化され、不完全で断片的であり、しばしば非常に理解しにくい」ものだったからです。
しかし、Synnovisは、パートナー組織がデータを「充実」させ、Synnovisではできなかった個々の患者への紐付けができる可能性があると考えています。
漏えいした個人情報には、氏名、生年月日、NHS番号が含まれています。場合によっては検査結果も漏えいしました。
「このデータは、単純な検査結果、検査コード、数値結果、基準値、記述情報、またはこれらの組み合わせなど、さまざまな形式で存在していました」と組織は説明しています。
医療サービスプロバイダーは、盗まれたデータが悪用された証拠はなく、「サイバー犯罪者がSynnovisやそのデータに引き続き関心を持っているという証拠もない」と述べています。
Synnovisは、データ漏えいの影響を受けた組織への通知を開始しており、11月21日までに通知プロセスを完了する予定です。
しかし、患者に直接通知することはありません。代わりに、影響を受けた各組織が患者にデータ漏えいを通知するかどうかを判断することになります。
