気仙沼市立病院の情報漏えい問題、一番の原因は？ 【セキュリティニュースまとめ】：週刊セキュリティニュース

2024年8月5日週は、KADOKAWAから流出した個人情報の数が確定し、ドワンゴのニコニコサービスが再開した他、Google ChromeやMicrosoft Edgeなどのセキュリティアップデートが公開された。

[キーマンズネット]

　2024年8月5日週は、三菱電機ホーム機器で個人情報漏えいの可能性や、東急リバブルの個人情報不正持ち出し事件などが報じられた。同週の主要なセキュリティニュースをまとめて紹介する。

大規模情報漏えいに脆弱性報告　セキュリティニュースまとめ読み

　2024年8月5日週で特に大きな話題となったのが、気仙沼市立病院の患者情報の漏えい問題だ。サイバー攻撃によるものではなく、物理的な機器の処分が原因だ。一体、何がまずかったのか。以降で、1週間分のニュースをまとめて紹介する。

---

●2024年8月5日

　KADOKAWAは2024年6月9日に起きたランサムウェア攻撃の結果、25万4241人分の個人情報などが漏えいしたことが分かったと発表した。なお、同社と協力する大手セキュリティ専門企業の調査によれば、ランサムウェア攻撃を招いた原因はフィッシングなどの攻撃により従業員のアカウント情報が窃取され、社内ネットワークに侵入されてしまったことだと推測している。

　KADOKAWAの子会社のドワンゴはサイバー攻撃の結果、サービスを停止していた「ニコニコ」が再開したと発表した。

　三菱電機ホーム機器は最大231万人の個人情報が漏えいした可能性があると発表した。2024年4月17日に情報システムサーバへの不正アクセスが発覚し、その後、他のサーバを調査したところ、情報漏えいの可能性があることが分かった。ただし、231万人の情報を保管するサーバに対するアクセスは合計25秒と短かったため、漏えいの可能性は極めて低いと考えているという。

　LINEヤフーは第三者に「Yahoo!メール」を閲覧された可能性があったと発表した。2024年6月13日13時11分〜2024年6月27日午前11時30分にYahoo!メールのメールタイトル、本文、送信日時、送信元メールアドレスなどが閲覧された可能性があるという。原因はSMS認証によるSMS認証による「Yahoo! JAPAN ID」へのログインにおいてシステムに不具合があり、ユーザーのログイン時にSMS認証に使用する携帯電話番号の利用者が変更されていないかどうかを確認する仕組みが一部正常に動作していなかったからだという。

---

●2024年8月6日

　Googleは「Google Chrome」で見つかった脆弱（ぜいじゃく）性を修正するセキュリティアップデートを発表した。対応するCVE番号は6つあり、「Critical」とされた「CVE-2024-7532」などを修正した。これは攻撃者が細工したHTMLページを読み込ませることで、グラフィックスエンジン「ANGLE」で境界メモリへのアクセスが起こる脆弱性だ。

　CrowdStrikeは2024年7月19日に「Falcon Platform」のアップデートのためにWindowsがブルースクリーン表示になって再起動できなくなった問題の根本原因の分析結果をまとめたレポートを発表した。同社のセンサーソフトの内部にはデータ収集用に20個の入力フィールドがあったものの、アップデート時には21個のフィールドが与えられたため、境界外のメモリ読み取りが起こって、システムクラッシュが発生したのだという。

　防衛省のシンクタンクの防衛研究所が発行する「NIDSコメンタリー」では「サイバー攻撃対処における攻撃「キャンペーン」概念と「コスト賦課アプローチ」——近年の米国政府当局によるサイバー攻撃活動への対処事例の考察から」と題した論文を掲載した。攻撃者側への対処について、国内とは異なる米国政府の事例を紹介した。

---

●2024年8月7日

　宮城県の気仙沼市立病院は延べ10万5316件、4万8651人の患者の情報が漏えいした可能性があると発表した。対象は2014年6月30日〜2017年10月27日に病院の会計窓口に設置していたPOSレジに記録された患者で、内容は患者IDやカナで記された氏名、診療科の種類、請求金額だ。2018年に新病院を移転した際、POSレジ端末3台の処分を委託した事業者がデータを消去しないで再流通させたことが原因だという。そのうち1台はフリーマーケットアプリケーションを利用した購入者から連絡を受けて回収済みだ。

　PCやサーバを処分する際にはHDDやSSDの内容を確実に消去する仕組みを作らなければならない。だが、PC以外にも情報を記録する機器があるということを再確認させられた事例だ。

　東急リバブルは元従業員が2万5406人分の個人情報を持ち出していたと発表した。同業他社に転職した際、持ち出したデータの一部をダイレクトメールの送付に悪用していた。データの内容は東京都港区の一部マンションの不動産登記簿に記載があった所有者の氏名と住所、所有マンション名、部屋番号、所在地情報だ。

　Mozilla Foundationは脆弱性を修正した「Mozilla Firefox 129」を発表した。脆弱性はCVE番号で14件あり、「CVE-2024-7518」など11件は重要度が「High」だった。

---

●2024年8月8日

　Microsoftは「Microsoft Edge」のセキュリティアップデートを発表した。Googleがアップデートした「CVE-2024-7532」など8つの脆弱性をGoogleよりも遅れて修正した。

　軸受機器や構造機器、建築機器などを製造するオイレス工業は、2024年6月7日に発覚したランサムウェアによる被害について最終報を発表した。調査によれば、攻撃者がグループ内のVPNにあった脆弱性を悪用して、オイレス工業のシステムに不正侵入し、サーバのファイルを暗号化したという。一種のサプライチェーン攻撃だと言えるだろう。

---

●2024年8月9日

　JPCERT/CCはインターネット定点観測レポート（2024年4〜6月）を発表した。機器やサービスを悪用しようとして送信されるパケットについて調べたところ、「telnet」（23／TCP）向けが前四半期に続いて最も多かった。