2TB以上のデータが盗難 16以上の病院を経営する企業へのサイバー攻撃で

サイバー攻撃者は病院を「金になる攻撃先」だと捉えている。事例が数多い米国の状況を紹介する。

[Matt Kapko，Cybersecurity Dive]

　病院に対するランサムウェア攻撃が増えている。国内でも2021年10月に徳島県の病院がランサムウェアの被害を受けた。

大規模な病院も狙われる

　米国ではさらに被害が拡大している。

　現在、Rhysidaと呼ばれる攻撃グループが攻撃を拡大させている。当局によれば、2023年6月から8月初旬にかけて、Rhysidaは少なくとも8つの被害者のデータをダークWebに流し、そのうち5つの被害者では盗み出した全ファイルを公開した。

　その中の一つが、Prospect Medical Holdingsに対するランサムウェア攻撃だと考えられる。2023年8月の初め、Rhysidaはこの攻撃を自らの手によるものだと主張した（注1）。この攻撃によって、複数の病院が閉鎖に追い込まれ、現在も運営に影響を与えている。

　2023年8月24日のダークWebへの投稿によると、50万件以上の社会保障番号の他、顧客と従業員のパスポートデータ、患者の医療ファイル、財務と法律に関連する文書を盗んだという。

　Prospect Medicalは、カリフォルニア州とコネチカット州、ペンシルベニア州、ロードアイランド州で16の病院と165以上の診療所および外来施設を運営する。

新興のランサムウェアグループ「Rhysida」

　サイバーセキュリティ事業を営むEmsisoftのブレット・カロウ氏（脅威アナリスト）は、攻撃の成果だと考えられる投稿のスクリーンショットを2023年8月24日に共有した。これは攻撃者がX（旧名称：Twitter）に投稿したものだ（注2）。

　Rhysidaは「1TB以上のデータと、1.3TBのデータを含むSQLデータベースを盗み出して保有している」と主張した。同グループは、ダークWebでデータを50ビットコイン（ほぼ130万ドル相当）で売りに出しているという。

　カリフォルニアに拠点を有するProspect Medicalの広報担当者は、2023年8月25日に発した声明で次のように述べた。

　「Prospect Medicalのデータが攻撃者に盗まれたことを確認した。盗まれたデータの範囲は現在も調査中だ。調査の結果、保護された医療情報や個人情報が盗まれていると判断した場合、関連法律に従って適切に通知する。調査が進行中のため、現時点で共有できる追加情報はない。この事件に対処するために、適切なあらゆる手段を講じた」

　Rhysidaは、ランサムウェア攻撃をサービスとして提供するグループであり、米国保健福祉省（HHS）は2023年の初めに発した警告の中で「当グループは2023年5月中旬に初めて出現した」と述べた（注3）。

　HHSによると、Rhysidaはまだ発展途上にあり、システムに侵入してレジストリを変更するための具体的なコマンドや手順が含まれた平文文字列のような高度な手段を有していないという。Rhysidaは主に、教育機関や政府機関、製造業、テクノロジー企業、マネージドサービスプロバイダーを攻撃している。

　カロウ氏によると、2023年にランサムウェア攻撃は53の病院を運営する22の米国の医療システムに影響を与え、そのうち20の組織がデータを盗まれたという。

出典：Prospect Medical stolen data listed for sale by emerging ransomware group（Cybersecurity Dive）

注1：Ransomware attack on Prospect Medical Holdings impacts hospitals across 4 states（Cybersecurity Dive）

注2：Brett Callow（X）

注3：HC3: Sector Alert TLP:CLEAR Report: 202308041500 （HHS）