スコットランドのヘルスケアプロバイダーに属する複数のドメインがハイジャックされ、現在、成人コンテンツと違法なスポーツストリームへのリンクが配信されていると、あるセキュリティ研究者が指摘している。
元サイバーセキュリティエンジニアで、現在はセラピストとライフコーチをしているニック・ハッターが最初に発見した。グラスゴー近郊のキルマコルムにある「ザ・ニュー・サージェリー」に属するドメインでホストされたリンクが大量にGoogleのインデックスに殺到した。
詳しく調べてみると、1月までさかのぼって作成されたと思われるものもあったという。
このドメインのランディングページは、現在その医院が使用しているものではないが、以前使用されていた可能性が高い。scot.nhs.ukネームスペースは、米国ベースのウェブ開発者に属しているように見え、現在ホストしている違法なコンテンツのための隠蔽物として機能しているようだ。
- ザ・ニュー・サージェリーの現在のドメイン: www.thenewsurgery.scot.nhs.uk
- 違法なリンクをホストしているドメイン: thenewsurgery-kilmacolm-langbank.scot.nhs.uk
The Registerはスコットランド最大のヘルスボード、NHS Greater Glasgow and Clyde (NHSGGC)に、ザ・ニュー・サージェリーを監督している機関にコメントを求めた。
NHSGGCのスポークスパーソンは「NHS Greater Glasgow and Clydeのサイバーセキュリティチームは、レガシーウェブサイトが侵害されたことが明らかになった後、独立したGP医院をサポートするため、Public Services Delivery ScotlandのCyber Centre of Excellenceと協力しています。これは、GP医院によって独立して設定・管理されたレガシーウェブサイトに影響し、医院のプライマリウェブサイト、またはNHS Scotlandの任意のシステム(ローカルまたは国レベル)が侵害されたという証拠はありません。」とコメントした。
scot.nhs.ukドメインを管理するNHS National Services Scotland (NSS)にも問い合わせた。
Public Services Delivery ScotlandのCISO、Scott Barnettは声明で「NHS Scotland Cyber Centre of Excellence (CCoE)は、地元のGP医院に関連するレガシーウェブサイトに影響するセキュリティ上の問題を認識しました。」と述べた。
「現在のところ、このインシデントの結果として個人情報または機密データが露出したことは認識していません。医院のプライマリウェブサイト、またはNHS Scotlandの任意のシステム(ローカルまたは国レベル)が侵害されたという証拠もありません。
「CCoEチームは、NHS Greater Glasgow and Clydeのサイバーセキュリティチームと密接に協力して、問題の原因を特定し、完全に封じ込められていることを確認し続けています。」
ハッターはまたThe Registerに対し、ザ・ニュー・サージェリーに関連する最初の侵害を明かした後、遠隔地のシェットランド諸島に位置するラーウィックGP医院のドメインで同様の活動を発見したと述べた。
ラーウィックのケースでは、医院が現在使用しているドメインが違法なリンクを配信しているもである。ザ・ニュー・サージェリーの侵害されたドメインは、ここ数年間、医院のプライマリウェブサイトに使用されていない。
Wayback Machineを使用した検索では、2019年時点で、現在不正なリンクを配信しているサイトの1つは、実際にザ・ニュー・サージェリーにアクセスするために使用されていたことが示され、最近のある時点で侵害されたことを示唆している。
元のザ・ニュー・サージェリーの発見に関連した議論の中で、サリー大学のサイバーセキュリティ教授Alan WoodwardはThe Registerに「大きな疑問は、それが本当の医院なのか、それとも誰かが不正なURLを自動的にリダイレクトするために設定しているのかということです。
「どちらにせよ、scot.nhs.ukサブドメインはNHS Scotlandによって管理されているため、誰かがNHS Scotlandの管理下にあるべきscot.nhs.ukのサブドメインを設定することに成功している。
「私が考える最も明白な方法は、システム管理者の認証情報を盗み、DNSコントローラーにアクセスし、特定のGP医院である可能性がありますが実際にはないURLからのリダイレクトを追加することです。これは、単に1つの医院がハッキングされたよりも深い侵透を示唆している。また、そのGPのウェブサイトの通常のユーザーは何も気付かないため、それがどのくらいの間、そこにあったのかは誰も知りません。」
nhs.ukとscot.nhs.ukドメインは閉鎖されているため、日常的なサイバー犯罪者は、これらのネームスペース内でGP医院の模倣を単に登録し、疑わしいコンテンツのホストを開始することはできない。
これらのネームスペースを使用してウェブサイトを登録するには、NHSからの公式認可が必要であるため、NHS Scotlandの疑問は、その管理下にあるドメインがどのようにして明らかに侵害されたのかということである。
同じことはDNSレコード変更にも当てはまり、NHSドメインはUK NCCSの保護DNSスキームの下で保護の対象となっているが、各公共部門組織が自動的に適用されるのではなく、申請する必要がある。
ハッターはThe Registerに「私の推測では、これは何らかのDNS攻撃または侵害されたWordPressセットアップの可能性があり、後者の方がより可能性が高いです。」と述べた。
Domain Information Groper (dig)クエリは、NHSドメインがWP Engineに正しく安全に指しており、侵害がWordPress側にあったことを示唆している。
仮に、乗っ取りがプラグインの脆弱性の悪用によって引き起こされた場合、例えば、このようなことが初めてではないだろう。
「私の意見では、他のNHS Scotland医院もこの攻撃に対して脆弱である可能性は十分にあります。」ハッターは付け加えた。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/08/scotland_nhs_domain_compromised/
