ニュージーランド政府は、民間の医療サービス提供会社Manage My Healthに対する年末のランサムウェア攻撃について調査している。この攻撃は数千人の患者に影響を及ぼした。デジタル恐喝グループ「Kazu」が犯行声明を出し、6万ドルの身代金が支払われない場合、1月15日にデータを漏えいさせると脅している。
Manage My Healthは、185万人以上のニュージーランド人が診療予約や健康記録・処方箋へのアクセスに利用しているオンラインポータルだ。Kazuは、700以上のファイルに相当する4.15テラバイトのデータを盗んだと主張している。同社は木曜日、12月30日に検知した侵害でハッカーが自社ネットワークに侵入したことを認めた。同社の推計では、この侵害は顧客の7%に当たる約12万6,000人に影響したという。ハッカーは「中核となる患者データベース」には侵入していないと同社は述べた。
この事件を「極めて憂慮すべき」と述べたシメオン・ブラウン保健相は日曜日、政府が本件と、第三者が患者データにアクセスできる範囲について見直しを行うと述べた。
「今回起きたことは容認できず、徹底的に原因を究明し、教訓を得なければならない。現時点では、明らかに対応に重点を置いている」とブラウンは日曜日の記者会見で述べた。
政府による予備評価では、この事件はHealth New Zealandのシステムには影響していないと判断されたと、1 Newsが報じた。
ニュージーランドのサイバーセキュリティ企業BlackVeilのCEO、アダム・バーンズによる分析では、Manage My Healthが弱いドメイン暗号化とエンドポイントセキュリティを使用していたことが判明した。同社のDMARC(ドメインベースのメッセージ認証・報告・適合)は監視機能のみが有効になっており、なりすましの試行を記録するだけで、対抗措置は実施していなかった。
「侵害は高度なものではなかった。Kazuは国家主体の攻撃者などではない。要求しているのは6万ドルで、ランサムウェアの世界では小銭のようなものだ」とバーンズは述べた。「基本的なセキュリティ衛生で防げた。今日見つかったギャップは何年も前に修正されているべきだった」
バーンズは、この事件がニュージーランドの医療分野における継続的なセキュリティギャップを浮き彫りにしていると述べ、同分野は「ガムテープでつなぎ留められた」レガシーシステムで動いていると指摘した。2021年にワイカト地区保健委員会が受けたランサムウェア攻撃は、レガシーシステムの使用が主因とされた。
サイバーセキュリティ企業Huntressでセキュリティ運用のシニアマネージャーを務めるドレイ・アガは、「攻撃者は、手間の少ない分かりやすい侵入口を提供するため、こうした旧式システムを積極的にスキャンしている」と述べた。「広く入手可能なツールを使い、弱い暗号化を破ってデータを傍受または持ち出すことができ、組織が侵害に気付くのは手遅れになってからであることが多い」
Manage My Healthは、侵害のニュースへの対応の仕方について批判を受けている。ニュージーランド王立総合診療医協会の会長ルーク・ブラッドフォードは、事件をFacebookで知ったと地元メディアRNZに語った。Manage My HealthはFAQページで、「なぜもっと早く知らせてくれなかったのか?」と問う人々に対し、「当面の最優先事項はManage My Healthプラットフォームを確保し、患者データを保護することだった」としている。ソーシャルメディアで最初に事件を知った人々に向けては、「これによって生じる不満は理解している」とFAQには記されている。
翻訳元: https://www.databreachtoday.com/new-zealand-probes-ransomware-hack-health-portal-a-30444
