英国の大手病理サービスプロバイダーであるSynnovisは、2024年6月に発生したランサムウェア攻撃に伴いデータ侵害が起き、一部の患者データが盗まれたことを、医療機関に通知しています。
以前はViapathとして知られていたSynnovisは、GSTS Pathologyとして2009年に設立され、その後2022年10月にSynnovisブランドへと移行しました。
Synnovisは、国際的な医療診断プロバイダーであるSYNLAB、Guy’s and St Thomas’ NHS Foundation Trust、King’s College Hospital NHS Foundation Trustによるパートナーシップであり、国民保健サービス(NHS)を含む英国の医療機関に病理サービスを提供しています。
Synnovisは現在、影響を受けた組織(NHSの病院や診療所を含む)に連絡を取っていますが、患者に直接連絡することはありません。患者への通知は、英国のデータ保護法に基づき、影響を受けたNHS組織が行います。
「現在、データが影響を受けた組織への通知を開始しており、このプロセスは2025年11月21日までに完了する見込みです。これは、フォレンジック専門家とデータスペシャリストから成る大規模なチームが、1年以上かけて実施してきた調査の最新段階を示すものです」と、Synnovisは月曜日のプレスリリースで述べました。
「盗まれたデータは非構造化で不完全かつ断片的であり、それらをつなぎ合わせるためには高度に専門的なプラットフォームと特注のプロセスが必要でした。これらの要因が、調査期間に大きな影響を与えました。」
盗まれたデータには、影響を受けた患者のNHS番号、氏名、生年月日などの個人情報や、場合によっては個人に紐づけ可能な検査結果が含まれています。しかしSynnovisによると、盗まれた情報の大部分は「解釈するために臨床的な知識やさらなる補完が必要」とのことです。
Qilinランサムウェア集団に関連する侵害
2024年6月3日、Synnovisはランサムウェア攻撃を受け、King’s College Hospital、Guy’s Hospital、St Thomas’ Hospital、Royal Brompton Hospital、Evelina London Children’s Hospitalなど、ロンドンの複数の主要NHS病院における手続きや業務に「重大な影響」が生じました。
影響を受けたロンドンの病院では、救急以外の病理検査の予約や輸血が中止、延期、または他のプロバイダーへの振り替えとなりました。このインシデントによりロンドンでは血液不足も発生し、影響を受けた病院は「800件を超える予定手術と700件の外来予約」を中止せざるを得ませんでした。
2024年6月20日、攻撃者はSynnovisのシステムから盗んだとされるデータを公開し、それを受けて同社は情報コミッショナーオフィス(ICO)に通知するとともに、データのさらなる利用を阻止するための法的差し止め命令を取得しました。
Synnovisは昨年のランサムウェア攻撃の背後にいる脅威グループの名称をまだ公表していませんが、このインシデントは、National Cyber Security Centre(NCSC)の創設者で初代CEOであるCiaran Martin氏により、Qilinランサムウェア・オペレーションと関連付けられました。
専用サイト上で、同社は本件後に身代金を支払っていないことを確認しました。これはNHSトラストのパートナーと共同で下した決定であり、「重要インフラ、患者のプライバシー、国家安全保障を脅かす将来のサイバー犯罪活動への資金提供を拒否し、倫理的原則へのコミットメントを反映するもの」です。
Qilinは、2022年8月に「Agenda」という名称のRansomware-as-a-Service(RaaS)オペレーションとして表舞台に現れ、その後ダークウェブ上のリークサイトで300件以上の被害者を名乗ってきました。その中には、自動車部品大手のYanfengや出版大手のLee Enterprisesも含まれます。
Synnovisの広報担当者は、BleepingComputerが本日早くに詳細情報を求めて問い合わせた際、コメントを提供することができませんでした。
