フランスの無名の病院でデータ侵害が発生し、脅威行為者が電子患者記録システムにアクセスした結果、75万人の患者の医療記録が流出した。
nears」(以前はnear2tlg)というニックネームを使用する脅威行為者は、フランスの複数の医療施設を攻撃し、150万人以上の患者記録にアクセスできたと主張している。
このハッカーは、ヨーロッパ全域で電子患者記録(EPR)ソリューションを提供しているソフトウエイ・メディカル・グループ社のMediBoardに侵入したと主張している。
ソフトウエイ・メディカル・グループは、ハッカーがMediBoardのアカウントを侵害したことを確認した。しかし、これはソフトウエアの脆弱性や設定ミスによるものではなく、病院が使用していた認証情報を盗んだことによるものだという。
LeMagITの編集長であるValéry Rieß-Marchiveがフランスのメディアに送り、共有した書簡の中で、Softway Medical Groupは、公開されたデータは同社が直接管理していたものではなく、病院がホストしていたと述べている。
「2024年11月19日、Mediboardソフトウェアを使用している医療施設内でサイバー攻撃が検出されました。
“我々は、影響を受けた医療データがソフトウェイ・メディカル・グループによってホストされていなかったことを強調したい。”
ソフトウェイ・メディカル・グループに連絡し、どのアカウントで、どのレベルで侵害されたのかを明らかにするよう求めたところ、広報担当者は次のような声明を発表した:
「我々のソフトウェアに責任があるのではなく、クライアントのインフラ内の特権アカウントが、ソリューションの標準機能を悪用した個人によって侵害されたことを確認することができます。
「この仮説は実証されています。したがって、ソフトウェアの不適切な実装や人為的ミスによるものではありません。”
病院へのアクセスを販売
脅迫者が、Centre Luxembourg、Clinique Alleray-Labrouste、Clinique Jean d’Arc、Clinique Saint-Isabelle、Hôpital Privé de Thiaisを含む複数のフランスの病院のMediBoardプラットフォームへのアクセスであると主張する販売を開始した後、すべてが展開された。
このアクセス権により、買い手は病院の機密医療情報や請求情報、患者記録を閲覧し、予約や医療記録を変更することができる。
MediBoardのアカウントにアクセスしたことを証明するために、ハッカーはフランスの無名の病院の758,912人の患者の記録も売りに出した。
これらの記録には以下の情報が含まれているとされる:
- フルネーム
- 生年月日
- 性別
- 自宅住所
- 電話番号
- Eメールアドレス
- 医師名
- 処方箋
- ヘルスカードの履歴
このデータは3人のユーザーに購入が申し込まれており、現在、販売リストに買い手は表明されていない。
データが売却されなかったとしても、無料でオンライン上に流出し、より広範なサイバー犯罪コミュニティが利用できるようになるリスクは常にある。
この事件で公開されたデータの種類は、影響を受けた人々にとって、フィッシング、詐欺、ソーシャル・エンジニアリングのリスクを高めることになる。
更新 11/21:被害に遭った病院はすべて Aléo Santé という単一の事業体に属していることがわかりました。
Comments