ニュージーランド、ManageMyHealthへのサイバー攻撃をめぐり調査を命令

ニュージーランドの保健相シメオン・ブラウンは、ManageMyHealthで発生したサイバー攻撃について調査を命じた。これは数十万人のニュージーランド国民のデータを脅かしている。

ブラウンは月曜日、政府に対し、原因、範囲、同社の防御体制、そして全国におけるデータアクセスへのより広範な影響を含め、この事案の見直しを開始するよう求めたと記者団に語った。

ManageMyHealthは民間企業で、ニュージーランド全土の医療機関が患者の健康記録にアクセスするために利用するプラットフォームを提供している。同社ウェブサイトによれば、約185万人分のデータを扱っており、侵害の影響を受けたのはそのうち推定6〜7％だという。

「このManageMyHealthのデータ侵害は極めて憂慮すべき事態であり、とりわけ10万人を超える患者とその家族にとって、最も個人的なデータである健康情報がこの事件によって侵害されたことは深刻だ」とブラウンは述べた。

「これは政府とHealth New Zealandにとっても非常に大きな懸念であり、政府はこの問題への対処と、ManageMyHealthが本件に対応するのを支援するために相当な資源を投入している。」

ブラウンは、この情報が患者に関する極めて私的な詳細を含むことを強調した。また、データが公的機関であれ民間組織であれ、最高水準のセキュリティとプライバシー保護が必要であり、こうした機微情報の取り扱いを国として大幅に改善しなければならないと付け加えた。

ManageMyHealthのウェブサイトに掲載されたファクトシートによると、同社は事案は封じ込められていると考えており、現在デジタル・フォレンジックの専門家が証拠を精査して攻撃の全容を確定しようとしている。

「当面の最優先事項は、当社システムの完全性と安全性を守ることです」と述べたManageMyHealth。「当社は独立系のサイバーセキュリティ専門家、プライバシー・コミッショナー、ニュージーランド警察、Health New Zealandと連携し、対応を調整しています。追加の監視とセキュリティ改善を実施しました。」

12月30日、Kazuを名乗る悪党がサイバー犯罪フォーラムへの投稿で攻撃の犯行声明を出した。盗まれたデータには42万8,000超のファイルが含まれており、ManageMyHealthが1月15日までに6万ドルの身代金要求を支払わなければ販売に出すと述べた。

しかしTelegramでは、Kazuは1月3日、同社が支払わなければ48時間以内に全データを公開すると述べた。

ニュージーランドの身代金の支払いに関する公式見解は、西側の地政学的同盟国と同様で、支払うな、というものだ。

KazuはTelegramを通じてデータの一部を公開したが、リンクはファイル共有サイト上で不正利用素材として通報され、現在は利用できない。

リンクが削除される前に当該データを調査したとRNZに語ったITコンサルタントのコディ・クーパーによれば、そこにはパスポートのスキャン、患者の病状の詳細、ヌード画像などが含まれていたという。

ManageMyHealthは、どのような種類のデータが含まれていたかについて「推測」することを拒み、何がダウンロードされ、またはアクセスされたのかを特定する作業がなお進行中だと述べた。

同社は次のように説明した。「『アクセスされた』とは、権限のない第三者がファイルを閲覧または開いた可能性があることを意味します。『ダウンロードされた』とは、ファイルが環境外へコピーされたことを意味します。独立したフォレンジック調査により、何がアクセスされ、何がダウンロードされた可能性があるかを確認しています。

「何が、誰によってアクセスされたのかについて推測はしません。私たちの優先事項は、何が起きたのかを確認し、データを保護し、影響を受けた方々に正確な情報を提供することです。」

ブラウンは、サイバー犯罪者が公開するいかなるデータの拡散も防ぐため、ManageMyHealthが月曜日に差止命令を申し立てたとメディアに語った。

同社はユーザーに対し、定期的にパスワードを変更し、多要素保護のために認証アプリを使用するよう助言した。

また、電話でパスワードやワンタイムコードを尋ねることは決してなく、ユーザーは自分たちを狙った詐欺の可能性に注意すべきだとも述べた。

「どの情報がアクセスされた可能性があるのか、引き続き調査しています」と同社は述べた。「一般に、個人情報は身元盗用や詐欺に悪用されることがあります。 

「あなたの情報が影響を受けたことが確認できた場合は、直接お知らせします。予防措置として、オンライン安全対策のベストプラクティスに従うことを推奨します。」®