フランスの地域保健機関がサイバー攻撃の標的となり、国内の患者の個人データが危険にさらされました。
9月8日、オー=ド=フランス(上フランス)、ノルマンディー、ペイ・ド・ラ・ロワール(下ロワール)の3地域の地域保健機関(ARS)は、これらの地域の公立病院の患者の身元データをホストするサーバーに対して最近行われたサイバー攻撃について警告するセキュリティアラートを発表しました。
3つの機関すべてが、非常によく似た内容で同様の影響を持つインシデントを報告しています。
ノルマンディー機関によると、予備調査により、少なくともこれら3つのARSの情報システムに対して、時間をかけて複数回のサイバー攻撃の試みが行われたことが確認されました。
オー=ド=フランス機関によれば、漏えいしたデータには患者の氏名、年齢、電話番号、メールアドレスなどの個人を特定できる情報(PII)が含まれています。
しかし現時点では、医療情報が漏えいした形跡はないと3機関は確認しています。
「侵害されたアカウントは無効化され、さらなる不正アクセスを防ぐために追加のセキュリティ対策が直ちに実施されました」とノルマンディー機関は述べています。
攻撃者が患者のPIIを収集した方法
これらの調査により、不正アクセスは医療従事者になりすますことで行われたことも明らかになりました。
この不正アクセスにより、ユーザーの個人データ(管理記録)が漏えいしました。
実際には、医療従事者のアカウントへの不正アクセスによって、攻撃者は地域電子医療開発支援グループ(GRADeS)が管理するシステムにアクセスできるようになりました。
GRADeSは、地域ごとに設置されている機関で、医療従事者に共通のデジタルサービスを提供しています。
例えば、ノルマンディーのGRADeSであるNormand’e-Santéは、遠隔医療相談や緊急予約サービスを提供するテレヘルスデジタルプラットフォーム「Therap-e」を含む43のサービスを展開しています。
サイバーセキュリティ専門家であり、サイバー関連ウェブサイトZatazの運営者であるダミアン・バンカル氏によると、攻撃者はこれらのGRADeSが管理するシステムから患者データをスクレイピングした可能性が高いとされています。
最も懸念されるのはフィッシングの試み
ARSオー=ド=フランスは、今回のインシデントが地域の病院やデジタルヘルスサービスの運営には影響を及ぼしていないことを強調しました。
「これらのサイバー攻撃に関連する主なリスクは、フィッシングの試みです」とメッセージは述べています。
「念のため、医療従事者や医療・福祉機関がメール、電話、SMSで個人情報(銀行口座情報、社会保障番号、パスワードなど)の提供を求めることは決してありません。」
ARSペイ・ド・ラ・ロワールは、今後、影響を受けた可能性のあるすべての患者に通知する予定だと述べています。
最後に、Normand’e-Santéはフランスのデータ保護当局(CNIL)に報告書を提出し、関係当局に被害届を提出しました。
翻訳元: https://www.infosecurity-magazine.com/news/france-regional-healthcare/