2021/08/09

フィンランドの心理療法サービスで、30,000件のメールアドレス、名前、社会保障番号、個人の心理療法セッションに関するメモが流出 / Finnish psychotherapy service Vastaamo had 30k unique email addresses, names, social security numbers and notes on individuals' psychotherapy sessions breached.


RT by @troyhunt: New sensitive breach: Finnish psychotherapy service Vastaamo had 30k unique email addresses, names, social security numbers and notes on individuals' psychotherapy sessions breached in 2018/2019. 59% were already in @haveibeenpwned. Read more: https://www.wired.com/story/vastaamo-psychotherapy-patients-hack-data-breach/:

Read more: wired.com/story/vastaamo-psy…

Jere(発音は「イェーレ」)は2020年10月24日の朝、フィンランドの大学生が言うところの「Normi päivä」、つまり普通の一日を期待して目を覚ました。その日は土曜日で、彼は寝坊してしまった。前日の夜、彼は友人たちとビーチで飲んでいた。安いアップルリキュールを飲みながら、ラジカセでBillie Eilishを聴いていた。今、Jereは頭をスッキリさせる必要があった。彼はこの灰色の秋の日をキャンパスで過ごし、太陽エネルギーに関する物理学のグループプロジェクトを仕上げる予定だった。22歳の彼は、ヘルシンキ郊外のアパートの近くにある湖の周りを散歩した。そして、なんとなく気分が晴れたところで、バスに飛び乗った。

その日はあっという間に終わった。ジェレは、パンデミックが始まって以来会っていなかった友人たちと再会した。クリスマスの予定を話したり、地元のお気に入りの店でピザを注文したり、カフェテリアでの仕事に精を出したりした。

午後4時頃、JereはSnapchatをチェックした。彼の画面にメールの通知が飛び込んできました。手が震えてきました。件名には、自分のフルネーム、社会保障番号、そして10代の頃にメンタルヘルスの治療を受けたクリニックの名前が書かれていた。Vastaamo社。差出人に見覚えはなかったが、メールを開く前に内容は分かっていた。

その数日前、Vastaamo社は大規模なデータ漏洩を発表しました。同社のITシステムにセキュリティ上の欠陥があり、電子メールアドレスや社会保障番号だけでなく、セラピストが実際に書いたメモなど、患者のデータベース全体がインターネット上に公開されていたのだ。電子メールアドレスや社会保障番号だけでなく、セラピストが書いたメモまでもが。Jereのメールボックスに届いたメッセージは、身代金を要求するものだった。

「24時間以内に200ユーロ相当のビットコインを受け取った場合、あなたの情報は当社のサーバーから永久に削除されます」と、フィンランド語で書かれたメールが届いた。もしJereが最初の期限に間に合わなかった場合は、さらに48時間以内に500ユーロ(約600ドル)を送金しなければならない。その後、「あなたの情報は誰もが見られるように公開されます」とある。

Jereが初めてVastaamo社に行ったのは、16歳のときだった。彼は学校を退学して自傷行為を始め、毎週イェーガーマイスターを「大量に」飲んでいたそうです。当時のガールフレンドは、Jereが18歳の誕生日を迎えるためには、助けを求めるしかないと主張しました。

セラピーの中で、Jereは虐待を受けていた両親のことを話してくれました。幼い頃、学校から家までの4マイル近くを無理やり歩かされたり、"期待はずれ "だと庭で寝かされたりしていました。彼は、マリファナ、LSD、DMTを使用していたことを話した。違法なレイヴを組織してドラッグを売っていたという。自殺を考えたこともあると言っていた。Jereのセラピストは各セッションの後、彼のメモをタイプし、Vastaamo社のサーバーにアップロードしました。「正直に話しただけです」とJere氏は言います。「正直に話しただけです」とジェレは言うが、情報をデジタルでバックアップしていることは「全く知らなかった」という。

カフェテリアでバッグを持ったJereは、物理学のプロジェクトの自分の分を翌日に提出すると友人に伝えた。帰りのバスの中で、Jereは必死になって親友にメールを送りました。彼の古いアカウントに登録されている大人として、母親が身代金の手紙を受け取っていたのだ。彼女とJereは今は仲良くしていますが、もし彼女が関わってきたら、彼がセッションで言ったことを知ってしまうかもしれません。そうなると、彼女を完全に失ってしまうかもしれないと彼は言う。彼は母に「心配しないで」と言った。その日の午後、彼はオンラインで警察に通報した。

Jereはウォッカを1杯飲み、さらに2杯、3杯と飲み干した。VAPEのペンを見つけ、数年前に不安症のために処方されたXanaxを飲んだ。念のために寝室の引き出しに数錠保管していたが、再び必要になるとは思わなかった。友人が到着して間もなく、彼は気を失った。

翌朝、JereはTwitterをチェックし、何千人もの人が同じ脅迫を受けていることを知り、恐怖と同時に安堵しました。「もし、自分だけがメールを受け取っていたら、もっと怖かっただろう」と彼は言う。

Vastaamo社は、フィンランドで最大の民間メンタルヘルスプロバイダーのネットワークを運営していました。人口550万人、ミネソタ州とほぼ同じ規模のフィンランドにおいて、Vastaamo社は「心理療法のマクドナルド」だったと、あるフィンランド人ジャーナリストは私に語った。そのため、この会社への攻撃はフィンランド全土を揺るがしました。身代金の要求を受け取った人は約3万人、警察に通報した人は約2万5千人と言われています。10月29日、ヘルシンキ・タイムズ紙の見出しにはこう書かれていた。"Vastaamoのハッキングは、フィンランド史上最大の刑事事件になるかもしれない"。この予測は現実のものとなったようです。