はじめに
2025年9月8日、悪名高いランサムウェア集団KillSecが、ブラジルの医療業界向けソフトウェアソリューション提供企業MedicSolutionに対するサイバー攻撃の犯行声明を出しました。同グループは、速やかに交渉を開始しない限り機微なデータを漏えいさせると脅迫しています。
標的となる医療ITサプライチェーン
重要なサプライチェーンITベンダーを経由した攻撃シナリオは、ブラジルの多くの医療機関、とりわけ患者にリスクをもたらす可能性があります。こうしたシステムには、膨大な量の機微な個人識別情報(PII)が集約されているためです。ハッカーがサプライチェーンを攻撃するのは、複数の標的を効率的に侵害でき、大規模なデータ窃取、身代金要求、支払いの迂回によってより大きな利益を得られるからです。組織とサプライヤーの間の信頼関係は、これらの攻撃を収益性の高いものにすると同時に、防御を困難にします。サプライチェーン攻撃は追跡が難しいことが多く、長期間にわたり検知されないまま継続し得るため、発覚前にハッカーが利益を最大化できてしまいます。KillSecランサムウェアが下流の医療機関への攻撃に転じるかどうかは不明ですが、TOR上の同グループのDLSサイトに掲載された被害者の傾向を踏まえると、そのようなシナリオは十分にあり得ます。
MedicSolution+は、クリニックおよび診療所の運営管理を効率化するために設計された、直感的なクラウドベースのソフトウェアを提供します。当社のプラットフォームは、リアルタイムのスケジューリング、マルチプラットフォームでのアクセス、強固なデータセキュリティにより、医療従事者を支援し、シームレスな運用と患者ケアの向上を実現します。クリニックや医療従事者を対象に、MedicSolution+は使いやすいモバイルアプリ、インテリジェントな予約システム、拡張可能なクラウドストレージを提供し、高額なインフラの必要性を排除します。シンプルさと信頼性で医師から信頼されるMedicSolution+は、現代的で安全かつアクセスしやすいソリューションにより、医療管理を変革します。
注目すべき点として、このランサムウェア集団がブラジルを標的にしたのは今回が初めてではありません。以前、同アクターはCNPJ/CPF識別子、取引金額、銀行情報などを含む個人および企業データを、ブラジルの政府系リソースから漏えいさせました。当時、同グループは侵害の全容や想定される流出元を明確にしませんでした。KillSecランサムウェアは、確認済みの事件だけでなく、偽情報や憶測でも知られていました。
残念ながら今回は、KillSecランサムウェアがブラジルに深刻な打撃を与えました。盗まれた医療データには、機微な検査結果報告書、診断評価、その他プライバシー上センシティブな情報が含まれています。Resecurityは複数の患者を特定して連絡を取りましたが、現時点で誰もこのインシデントを把握していませんでした。
サイバー犯罪者は、医療機関から盗んだデータを恐喝に利用します。多くの患者は自分の情報がオンラインで公開されるとは想定していないため、被害組織だけでなく最終顧客にも重大な損害を与えることを理解しているからです。
医療ITサプライチェーンの主要要素を攻撃することで、KillSecランサムウェアのアクターは、個別標的への攻撃と比べて成果を4倍にしました。ソフトウェアベンダーを侵害することで、他の医療機関にも大規模に影響を及ぼしたのです。Resecurityは、ブラジルの地域医療機関および医療検査ラボに属する文書を確認しました。これには、Vita Exame、Clinica Especo Vida、Centro Diagnostico Toledo、Labclinic、Laboratório Alvaroなど(ただしこれらに限定されない)が含まれます。
データ侵害の範囲
重大なタイミング
注目すべきことに、KillSecランサムウェアのアクターは、ブラジルの数日前にコロンビア、ペルー、米国の医療機関も標的にしていました。このタイミングは、サイバー犯罪者が医療分野への関心を高めていることを示しています。
2日前、アクターは以下の著名な医療組織の侵害に成功したと発表しました:
– Archer Health(米国)
– Suiza Lab(ペルー)
– GoTelemedicina(コロンビア)
– eMedicoERP(コロンビア)
1か月前、アクターは、20か国以上で3,500人超の医師にサービスを提供するペルーの著名な医療ソフトウェアプラットフォームDoctocliqからのデータを漏えいさせました。同プラットフォームは医科および歯科の専門家向けに設計されています。過去には、同グループはサウジ王立空軍(RSAF)も標的にしており、医療以外の分野でも複数の新たな漏えいを公開しました。これには、HR・人材派遣・テクノロジーソリューション提供企業Nathan and Nathan(UAE)の侵害や、高齢者向け居住コミュニティのために設計されたコミュニケーションプラットフォームAva Senior Connect(米国)などが含まれます。
残念ながら、ブラジルはKillSecランサムウェアの最新の標的となり、市民のプライバシーに重大な損害が生じました。
侵害の根本原因
医療機関に影響を与えるこれらのデータ侵害に共通する点は何でしょうか。Resecurityは、入手可能な痕跡に基づいて調査を実施し、露出したAWSクラウドバケットに保存されている盗難ファイルを特定しました。当社HUNTERチームの専門家は、盗難データを特定のS3ストレージの場所にマッピングでき、露出していた全ファイルの一覧を平文で取得していました。
注目すべきことに、ランサムウェアの犯行声明が出された時点でも問題は封じ込められておらず、データはリモートでの持ち出しに対して脆弱なままでした。これは、インシデント対応に大きなギャップがあり、医療分野で事業を行う被害組織の認識不足があることを示しています。Resecurityは被害者に連絡しましたが、返答はありませんでした。インシデント封じ込めを促進するため、当社チームは入手可能な調査結果を CERT.br (ブラジルのコンピュータ緊急対応チーム)および、LGPD遵守を監督し、侵害を調査し、制裁を科す Autoridade Nacional de Proteção de Dados(ANPD)と共有しました。
KillSecランサムウェアは、実際のハッキングやIT環境への侵入を行うことなくデータを盗むために、「手の届きやすい脆弱点(low-hanging fruit)」を悪用しました。最近の被害者履歴に基づくと、このベクトルは同グループによって頻繁に利用されているようです。
重要性
Resecurityは、ブラジルの医療分野における別の被害者をもう1件把握していますが、現時点ではKillSecランサムウェアによってまだ公表されていません。同グループは侵害を進めつつ、現在の被害者から適切に収益化できるよう公開を遅らせている可能性があります。注目すべきことに、2025年9月初旬、アクターは米国および中南米の医療機関に対する過去最高レベルのハッキングのラインナップを公開しました。これは、以前の活動と比べて強度および影響を受けた被害者数の両面で記録的でした。
インシデントの根本原因が明らかにならない限り、不幸なことに、ランサムウェア集団はすでにデータを持ち出しており、ハック&リーク作戦でそれを利用して、患者および関連組織を恐喝する可能性が高いと考えられます。この問題は、データ漏えいにつながり得る脆弱性を発見し、早期に潜在的な被害を防ぐことを目的としたサイバーセキュリティ監査の重要性を浮き彫りにしています。
Resecurityの分析によれば、KillSecランサムウェアは医療機関を標的にする上で「最適なポイント」を見いだしています。医療機関は、個人識別情報、病歴、保険の詳細、支払い情報など、機微で価値の高いデータを大量に保有しています。ハッカーがこれらの組織を狙うのは、盗まれた診療記録が闇市場で高額で売買され得るためです。これにより、医療データ侵害はサイバー犯罪者にとって非常に収益性の高いものとなります。
コンプライアンスと予防措置
Resecurityはまた、継続的な サイバー脅威インテリジェンス の収集と デジタルリスク監視 の実装を推奨しています。特に、第三者およびサプライチェーンに起因する可能性のある脅威の検知を目的としたものです。
医療分野における急速なデジタル変革(電子カルテの導入、接続型医療機器、クラウドサービスの採用など)により、攻撃対象領域が拡大しました。多くの医療システムはレガシーインフラを抱えており、強固なサイバーセキュリティ防御が不足している場合があるため、ハッカーにとって狙いやすい標的となっています。
アタックサーフェス管理(ASM)は、攻撃者に悪用される前に脆弱性を特定し、軽減することを可能にします。サーバー、アプリケーション、クラウドサービスなど、すべてのデジタル資産を継続的に監視することで、セキュリティチームは弱点を早期に発見して対処でき、サイバー攻撃のリスクを低減できます。
Resecurityは、世界中の医療業界の企業が直面する重大なサイバー脅威を認識しています。この分野の企業は、ほぼ他のどの業界よりも大きな脅威にさらされています。このリスクは、多くの医療機関が財務的に厳しい状況にあるという事実によってさらに増幅されます。ResecurityのRiskプラットフォームは世界中の企業や政府にとって費用対効果の高いソリューションですが、セキュリティ態勢を強化する予算が不足している組織もあります。そのためブラジルでは、Resecurityは通常Riskのような強固なCTIサービスを利用できない医療企業に対して助成金を提供しています。場合によっては、これらの助成金が費用の100%をカバーし、本ブログで説明したような侵害の被害に遭わないよう、医療提供者が自社、職員、患者をより適切に保護できるようにします。
訴訟実務
ブラジルの医療分野におけるデータ侵害に関する訴訟および執行の状況は、主としてブラジルの一般データ保護法であるLei Geral de Proteção de Dados(LGPD)によって形作られており、同法は2020年に全面施行されました。LGPDは、ブラジルで個人データを処理するすべての組織に適用され、健康データは「機微な個人データ」に分類され、より高度な保護と厳格な処理要件の対象となります。
データ保護の執行における主要な規制当局は、LGPD遵守を監督し、侵害を調査し、制裁を科す Autoridade Nacional de Proteção de Dados(ANPD)です。さらに、 Agência Nacional de Vigilância Sanitária(ANVISA)や Conselho Federal de Medicina(CFM)などの分野別規制当局も、ブラジルの医療におけるデータセキュリティおよび機密保持の執行に関与しています。
ブラジルの裁判所は、医療データ侵害事件において、特にプライバシーという基本的権利が争点となる場合、概して原告側に有利な判断を下してきました。裁判所はしばしばプライバシー侵害と精神的苦痛を認定し、慰謝料(精神的損害)を認容します。また、健康データの機微性を踏まえ、意図の有無にかかわらず侵害について責任を負わせる厳格責任の基準を、医療提供者や保険者に適用することが頻繁にあります。
注目すべき訴訟結果:
病院ランサムウェア事件(2021年):サンパウロの大手病院が、ランサムウェア攻撃後に十分なセキュリティ対策を実装していなかったとして責任を認定されました。裁判所は、露出の程度および精神的苦痛に応じて、請求者1人あたりR$5,000〜R$20,000の補償を命じました。
健康保険データ漏えい(2022年):大手保険会社に対し、集団的な精神的損害の支払いと、ANPDの監督下で包括的なデータ保護コンプライアンス・プログラムを実施することが命じられました。
公的医療制度(SUS)データ露出(2023年):数百万人に影響する侵害により、保健省に対してセキュリティプロトコルの強化と、公衆衛生の取り組みを通じて分配される集団的損害賠償の支払いを命じる裁判所命令が出されました。
医療分野における記録された罰金:ANPDは、2024年の医療分野監査の結果として、暗号化および侵害対応計画が欠如していたことを理由に、15の医療機関に対し合計1,200万ブラジルレアル(約240万米ドル)の罰金を科しました。追加の是正措置には、侵入テストおよび職員研修の義務化が含まれました。2023年以降、ANPDは全分野で9,800万ブラジルレアル(約2,000万米ドル)を超える罰金を科しており、医療分野は、繰り返される脆弱性と分野横断的監査により、その相当部分を占めています。
ANPDの執行は強力かつ積極的であり、医療データの高いリスクと機微性を理由に医療分野へ明確に重点を置いています。非遵守の組織にとって、金銭的制裁、業務上の制裁、評判の毀損というリスクは重大です。結論として、ブラジルにおける医療データ侵害に関する訴訟および規制執行は活発で進化しており、裁判所とANPDは、遵守を確保し患者のプライバシーを保護するために、金銭面と運用面の双方で罰則を科しています。
