Synnovisは、ロンドン全域の病理サービスを麻痺させた2024年のランサムウェア攻撃に関する調査をついに終了し、NHSのサプライヤーがこれまで直面した中で最も複雑なデータ再構築作業の一つと説明する事態の解明に18か月を費やしました。
この攻撃は、当時Qilinランサムウェア集団によって犯行声明が出され、2024年6月に病理プロバイダーのシステムが停止したことで、数千件の予約や手術が中止されました。Synnovisは現在、フォレンジックレビューが完了したことを確認していますが、影響を受けた人数については依然として公表していません。
セキュリティ企業CaseMatrixは、Recorded Futureによると、90万人以上のNHS患者に関するデータが漏洩したと以前に推定していますが、Synnovisはこの数字を裏付けも否定もしていません。
特筆すべきは、2025年6月にKing’s College Hospital NHS Trustが、Synnovisのサプライヤー侵害による混乱が患者の死亡に寄与したと認めたことです。これは、ランサムウェア事件が死亡事故と関連付けられた稀なケースの一つとなりました。
今週発表された声明で、Synnovisは「侵害されたデータが非構造化、不完全、断片的で、しばしば非常に理解しづらかったため、調査完了まで1年以上かかった」と述べました。専門のインシデント対応チームが「高度に専門化されたプラットフォームや特注プロセス」を用いて、混乱したテラバイト単位の情報を精査し、どの医療提供者の患者が影響を受けたか特定する必要があったと付け加えています。
SynnovisのCEO、Mark Dollar氏は「この強奪型サイバー攻撃で盗まれたデータを解読し、つなぎ合わせるために、1年以上にわたる骨の折れる調査が必要だった。私自身、当社システムから抜き取られたデータのランダムかつ断片的な性質に対処することが、サイバーの第一人者であってもいかに困難かを目の当たりにした」と述べました。
Synnovisは、同社の病理サービスに依存していたすべてのNHS組織への通知を11月21日までに完了し、委託された患者データが侵害に巻き込まれたかどうかを伝えるとしています。英国のデータ保護法の下では、その後、各病院、GP診療所、クリニックが個々の患者に通知する責任を負います。
同社は、患者が通知を受けるまでに時間がかかる可能性があると警告しています。「医療提供者が影響を受けた患者に通知するまでに、しばらく時間がかかる場合があります」と述べ、「ご自身の医療提供者のウェブサイトで関連する最新情報をご確認いただくことをお勧めします」としています。
Qilinグループが昨年夏に盗んだファイルをオンラインに公開した一方で、Synnovisは「作業用ドライブから急いで、ランダムかつ無差別に持ち出された」と強調しています。攻撃者は主要なラボデータベースにはアクセスできず、侵入中に手に入るファイルを持ち去ったとしています。
一部の文書には、NHS番号、氏名、生年月日などの個人データの断片が含まれていたとSynnovisの専用サイバー攻撃ウェブサイトは説明しており、「ごく少量」には調査員が特定の人物と照合できる検査結果も含まれていました。「大多数の検査結果は、解釈するために臨床的知識やさらなる情報が必要であり、悪用しやすい明確な陽性・陰性のフラグは含まれていません」とSynnovisは述べています。
また、Synnovisは盗まれたデータについて「悪意のある者が簡単に利用できる形で提供されたことは一度もない」と述べていますが、たとえ部分的な個人情報や医療情報であっても、他の侵害データと組み合わせることで詐欺師や外国情報機関にとって価値がある可能性があるとしています。
同社はQilinに身代金を支払わなかったことを改めて強調し、その決定は同社がサービスを提供するNHSトラストと共同で下したと述べています。「この決定は…倫理的原則へのコミットメントと、重要インフラ、患者のプライバシー、国家安全保障を脅かす将来のサイバー犯罪活動への資金提供を拒否する姿勢を反映しています」とSynnovisは述べていますが、要求された身代金額は明かしていません。
Qilinグループは、二重脅迫戦術を用いて医療機関、学校、製造業者、地方自治体を標的にしてきました。グループは通常、大量のデータを流出させた後にシステムを暗号化し、被害者が支払いを拒否すると盗んだ情報を公開すると脅します。
ロシア系とみられるこのグループは、The Registerに対し、Synnovisへの攻撃は意図的だったと語り、「我々の攻撃はすべて偶然ではない。特定の国の政治エリートと直接または間接的に関係する企業のみを選んでいる」と述べました。
Synnovisは、フォレンジック調査では攻撃者が最初にどのように侵入したかを特定できなかったと述べています。影響を受けたインフラはすべて交換され、侵害されたシステムは現在使用されていないと同社は主張しています。この初期侵入経路の不明確さは、最前線のケアに組み込まれたサプライヤーのセキュリティに対する監視が強まるNHSイングランドに、さらなる疑問を投げかける可能性があります。
しかし患者にとっては、依然として回答を待つ状況が続いています。Synnovisが通知の責任を支援する数百のNHS組織に委ねたことで、個別の通知時期は各提供者が同社の調査結果をどれだけ早く処理するかによって異なることになります。少なくとも、近年のNHSで最も長く、最も混乱を招いたインシデント調査の一つが終結したことになりますが、約100万人分のデータがなぜ犯罪者の手に渡ったのかは依然として解明されていません。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/13/synnovis_qilin_investigation/
