ID管理の穴を突かれて大規模な医療情報漏えい 【セキュリティニュースまとめ】

2024年8月26日週は、フランスに本社を置くサノフィが医療従事者の情報漏えいについて発表した。無許可で接続用IDを保存していたノートPCがマルウェア感染したことが原因だ。

[畑陽一郎，キーマンズネット]

　2024年8月26日週は、サノフィからの医療従事者の個人情報漏えいの他、洋菓子を提供するエーデルワイスのECサイトが攻撃されてクレジットカード情報が漏えいした事件、損保4社からの契約者情報の漏えいが話題になった。同週の主要なセキュリティニュースをまとめて紹介する。

脆弱性攻撃にID管理への不正アクセス　この1週間で起きたこと

　2024年8月26日週で特に大きな話題となったのが、サノフィの情報漏えいだ。医療従事者の個人情報が70万分以上漏えいした。マルウェアを利用して個人情報を収めたデータベースにアクセスするためのID情報が盗み取られたことが原因だ。ID管理に穴があると、ソフトウェアの脆弱（ぜいじゃく）性などを利用されなくても簡単に不正アクセスにつながってしまう。以下、1週間分のニュースをまとめて紹介する。

---

●2024年8月26日

　大分大学はWebサーバが不正アクセスを受けて改ざんされたと発表した。改ざんされたのは大学図書館の貴重書アーカイブの公開用サーバだ。利用していたPHPに脆弱（ぜいじゃく）性があり、この脆弱性を突かれた。

　フィッシング対策協議会はフィッシングメールに関する緊急情報を発表した。全国労働金融協会（ろうきん）を語るフィッシングメールが少なくとも7種類流通しているという。

---

●2024年8月27日

　沖縄県立南部医療センター・こども医療センターは患者の氏名4334件などの情報漏えいの恐れがある事案が発生したと発表した。当センターの職員による書類の仮置きが原因と考えられ、医事会計窓口業務を委託した日本総合整美が廃棄物だと誤認して回収した。回収後は焼却処分されたものと判断したという。2024年7月2日〜同年7月22日の診療費入金自動精算機関連の書類が対象で、患者の氏名や受診診療科、保険種別、入金額、1370人分のクレジットカード会社名、クレジットカード名義が含まれる。なお、これ以外の患者の個人情報やクレジットカード番号は含まれていない。

　JPCERT/CCはエレコムの無線LANルーターと無線アクセスポイントに複数の脆弱性が見つかったと発表した。影響がある製品は「WRC-X3000GS2-B」「WRC-X3000GS2-W」「WRC-X3000GS2A-B」「WAB-I1750-PS」「WAB-S1167-PS」の5つ。脆弱性は4件あり、細工されたHTTPリクエストを処理することで、任意のコードを実行される脆弱性「CVE-2024-43689」は、CVSS v3.0のベーススコアが8.8と高い。

---

●2024年8月28日

　製薬会社のサノフィは医療従事者73万3820人の情報が漏えいした可能性があると発表した。海外の業務依頼コンサルタントが使用していた個人のノートPCがマルウェアに感染した結果、本来保存が禁止されているサノフィのデータベースへアクセスするためのIDなどが漏えいし、その結果、2024年7月10〜14日に悪意のある第三者が同社のデータベースの一部に不正アクセスしたという。不正アクセスの対象となった情報は医療従事者の氏名と性別、生年月日、メールアドレス、医療機関名、医療機関の住所、役職、職種、診療科だ。なお、サノフィはフランスで最大手の製薬会社であり、世界売上高ランキングでも2022年時点でトップ10に入る。

　Cisco Systemsはセキュリティアドバイザリを6件発表した。最も重要度が高いのはサービス拒否の脆弱性「CVE-2024-20446」だ。デバイスに設定されている任意のIPv6アドレスに細工したDHCPv6パケットを送信することでdhcp_snoopプロセスをクラッシュさせ、複数回再起動できるという。これはサービス拒否につながる。CVSS v3.1のベーススコアは8.6だ。

　フィッシング対策協議会はQRコードから誘導されるフィッシングについて、緊急情報を発表した。三井住友カードをかたるメールに記載されたQRコードを読み込むと不正なWebサーバに接続し、そこで個人の情報を入力させようとするものだ。

---

●2024年8月29日

　経済産業省はソフトウェアの脆弱性を管理する具体的手法についての手引書を公開したした。2023年7月に公開した手引き書を改定したものだ。具体的にはSBOMでソフトウェアのサプライチェーンを管理し、ソフトウェアの上流で脆弱性がないことを確認するために利用できる。特にオープンソースソフトウェア（OSS）を利用したソフトウェア開発では、多数のOSSを組み合わせて利用するため、脆弱性の管理が難しくなっていることが背景にある。

　洋菓子などの製造販売を手掛けるエーデルワイスは不正アクセスの結果、顧客の個人情報とクレジットカード情報が4万5355件漏えいした可能性があると発表した。2024年5月21日に外部機関から指摘を受け、同年5月25日に漏えいが起きた同社の「ヴィタメール オンラインショップ」の運営を停止した。調査機関によれば、2020年4月27日〜2024年5月21日に同オンラインショップで購入した顧客の情報が漏えいし、一部は不正利用された可能性があるという。漏えいした可能性があるのはカード名義人名やクレジットカード番号、有効期限、セキュリティコード、メールアドレス、パスワード、生年月日だ。漏えいの原因はオンラインショップのシステムの脆弱性を第三者が利用して不正アクセスし、ペイメントアプリケーションを改ざんしたことだ。

---

●2024年8月30日

　あいおいニッセイ同和損害保険、損害保険ジャパン、東京海上日動火災保険、三井住友海上火災保険の4社は損害保険の契約者の情報が合計約250万件漏えいしたと発表した。金融庁は2024年7月22日に4社に対して、個人情報保護法第146条第1項と保険業法第128条第1項に基づく報告徴求命令を出しており、金融庁に報告した内容を今回発表した。それぞれの漏えい件数はあいおいニッセイ同和損害保険から順に約21万7000件、約99万1000件、約96万件、33万6000件だ。漏えい内容は契約者の氏名や証券番号、満期日など。漏えいが始まった期間は東京海上日動火災保険の場合、2012年からだ。情報漏えいが起きた原因は2つある。1201社の保険代理店から他社に契約者情報をメールで共有した場合と、保険代理店に出向した損保会社の社員が出向元の損保会社に持ち出した場合だ。情報を持ち出された保険代理店は119社あった。