ランサムウェアギャング「LockBit」が病院に復号鍵を無償提供

ランサムウェアギャングであるLockBitはアフェリエイトプログラムにおいて、重要インフラ、旧ソ連諸国、医療機関の攻撃を禁止している。

ではそんな組織が攻撃を受けたらどうなるのか？

今回は興味深い事例を紹介する。

これに則ると、半田病院の件も複合鍵を無償で入手することができた気がするが、普段のITの運用管理を完全に外部に丸投げしていたことからそうはならなかったと思われる。

クリスマスの数日前、2022年12月18日（日）の夜、カナダのHospital for Sick Children（通称SickKids）がランサムウェア攻撃に遭いました。

トロントにあるこの教育・研究病院は、この攻撃によって内部システム、電話回線、ウェブサイトに影響が出たと報告しています。

病院は、すべてのシステムが通常通り稼働するまでに数週間かかると予測し、予定された予約や処置は継続しているものの、臨床チームには遅れが出ており、患者や家族は待ち時間が長くなることが予想されると警告しています。

緊急復旧計画が実行に移され、年末までに同病院は、患者や家族が遅れを取ることが予想されるものの、優先システムのほぼ50%が復旧し、オンラインに戻ったと報告しました。

この攻撃は、病気の子どもたち、冷酷なサイバー犯罪者、そしてクリスマスという組み合わせで、世界中のメディアの注目を集めました。

この病院の攻撃者が使用したランサムウェア・アズ・ア・サービス（RaaS）事業で悪名高いLockBitが、SickKidsに謝罪するだけでなく、苦境にある病院に無料の復号ツールを提供するという異例の措置を取ったのは、おそらくそれが理由の一つでしょう。

ロックビットは、過去に他の病院をランサムウェアで攻撃することに何の抵抗もなかったが、ウェブサイトに掲載したメッセージの中で、珍しく遺憾の意を表明している。

ロックビットは、この攻撃を行ったアフィリエイターが規則に違反したため、今後の活動をブロックしたと発表しています。

サイバー犯罪者にも良心があるということでしょうか。あるいは、ロックビットの背後にいる人々は、病気の子供のための病院を攻撃することのデメリットが、強奪を望むかもしれないどんな金額よりも大きいかもしれないことに気づいたことを示しているのかもしれない。

結局のところ、法執行機関はLockBitの背後にいる人物を明らかにする理由をさらに多く持っていると想像できますし、他のサイバー犯罪者がこのランサムウェア攻撃を非常に悪く捉え、それに協力したと思われる人物の身元を明らかにしようとする危険性も常に存在します。

私は、重病の子供を持つ親を望んだりはしませんが、ほとんどのサイバー犯罪者が、金になる可能性があるなら、誰を標的にしようが構わないと考えるとは信じがたいです。

SickKidsは、最新の声明で、身代金の支払いを行わなかったこと、優先システムの60%以上を復旧させたこと、LockBitギャングが提供する復号化ツールを使用する必要があるかどうかを評価していることを確認している。

出典：LockBit ransomware gang says sorry, gives free decryptor to SickKids hospital

【セキュリティ事件簿#2023-045】国土交通省　個人情報の流出の可能性に関するお詫びとお知らせ　2023年1月13日

九州地方整備局山国川河川事務所が発注した事業損失事後調査業務（受注者：東亜建設技術（株））において、受注者の業務従事者が発注者から貸与された調査に必要な個人情報が含まれた資料を紛失する事案が発生しました。

紛失した資料には、個人２名の住所及び氏名等並びに個人１７名の氏名等が記載されています。

関係する皆様にご迷惑をおかけしたことを、深くお詫び申し上げます。

○事案の内容

　令和５年１月１７日（火）に事業損失事後調査業務受注者の業務従事者が、現地調査を実施中に発注者から貸与された個人情報が含まれた資料を紛失し、同日に遺失物として最寄りの警察に届出られたものです。

○ 対応状況

同資料に個人情報の記載のある方に対しては、事案の内容をご報告し、お詫びさせていただいているところです。なお、現時点におきましては、個人情報等の第三者への流出、不正利用等の事実、二次被害は確認されておりません。

○ 今後の対応

九州地方整備局においては、同様の事案の再発防止に取り組んでいる中で発生したことを重く受け止め、更なる個人情報等の管理の徹底に関して、受注者への指導に迅速かつ万全を期してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-044】岩手医科大学附属病院　個人情報を保存したUSBメモリの紛失について　2023年2月2日

2022年10月5日頃、薬剤部内にて個人情報を含んだUSBメモリを紛失する事案が発生しました。USBメモリ内には会議資料に使うための薬剤治療実施患者1,894人分のリスト（患者ID、お名前、年齢、診療科、病棟名、医師名、薬品名、調剤日、調剤に必要な関連情報（処方箋区分、用量・単位、日数あるいは回数、投与分割数、総量、オーダ番号、薬剤治療コード、薬剤治療名））が含まれており、机の上に置いた後、行方が分からなくなっております。

USBメモリは、院内指針に則った暗号化機能付きのものを使用しており、パスワードによるロックがかかっております。また、紛失が起きた薬剤部は、学外者立入禁止区域でIDカード認証による入室管理をしているため、関係者以外の持ち出しの可能性は極めて低いと考えられます。

現時点で、本件による個人情報の不正使用等の被害は確認されておりませんが、当院として「個人情報の漏えいの可能性が否定できないこと」と「発生から報告まで長期間経過してしまったこと」を重く受け止め、該当する患者様に経過報告と謝罪を行う準備をしていることをご報告させていただきます。

患者様には多大なご不安ご心配をおかけすることとなりましたことを深くお詫び申し上げます。

また、今回の事態を真摯に受け止め、今後セキュリティ対策を強化するとともに、全学の教職員に対し個人情報の適正な管理を徹底し再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-043】株式会社エフエム東京　「ショッピングサイト」不正ログインに関するお詫びとご報告　2023年1月18日

平素はTOKYO FM公式ショッピングサイトを利用いただき、誠にありがとうございます。

この度、弊社の公式ショッピングサイトが利用するECサイトプラットフォームのシステムに対し、外部からの不正アクセスが発生し、お客様の個人情報が流出した可能性があることが確認されました。

お客様には、ご迷惑、ご心配をおかけいたしましたことを心よりお詫び申し上げます。本件に関しましては、現在、詳細な事実関係を確認中です。速やかに原因を究明し、今後このようなことが発生しないよう対応を検討してまいります。

現時点で確認している事実と対応状況につきましてご報告致します。

1．概要

2023年1月11日、TOKYO FM公式ショッピングサイト（以下、弊社ショップ）が利用するECサイトプラットフォームの注文管理画面に第三者による不正アクセスがあり、お客様の個人情報が流出した可能性がございます。

また、これらの情報を利用してお客様に下記のような内容で第三者によるメールが送信された可能性がございます。

【メール例】
---------------------------------------------

再支払いのお願い
このたびはTOKYO　FM公式ショッピングサイトでお買い物いただき、ありがとうございました。
下記、ご注文において、与信エラーにより決済が正常に完了していないことが判明いたしました。
それに伴い、再度のお支払いをお願いいたします。
既に引き落としされている場合に関しましては自動でキャンセル扱いになり請求されませんのでご安心ください。
ご不便をおかけして申し訳ございません。

[再決済ページに進む]

ご注文内容

注文ID：XXXXXXXXXXXXXXXX

（以下注文情報がつづく）

---------------------------------------------

2．お客様へのお願い

上記のような内容のメールに従いクレジットカード情報を入力してしまった場合、クレジットカード情報が第三者に流出してしまった可能性があります。

誠に恐縮ではございますが、クレジットカード情報を入力してしまっていないか、またクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度確認をお願い申し上げます。

万が一、クレジットカード情報を入力してしまった、または身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社および弊社にご連絡していただきますようお願い申し上げます。

また、上記のような内容のメールのように再決済を要求するメールは第三者による不審なメールでございますので、再決済のお手続きを行わないようにお願い申し上げます。

なお、弊社はお客様のクレジットカード情報を一切保持しておらず、弊社からのクレジットカード情報の流出はございません。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-042】兵庫県立がんセンター　個人情報が含まれたＵＳＢメモリの紛失に関するお詫びとご報告　2023年1月31日

このたび、当院の医師が学会で発表する資料作成のために必要な患者様の医療情報を保存したＵＳＢメモリ１個を紛失しました。

患者様には多大なるご心配とご迷惑をおかけすることになり、また事実確認と再発防止の検討に時間を要し、ご報告が遅れましたことを深くお詫び申し上げます。

なお、今のところ、情報漏洩等の事実は確認されていません。

１紛失したＵＳＢの内容

電子カルテから保存した５５名分の患者ＩＤ、氏名、治療実施日、病変の存在箇所、病変の進行度等のデータです。

２経緯

ＵＳＢメモリは、医師自身が管理しており、令和５年１月５日（木）に使用したことは確認しています。１月 13 日（金）に、ＵＳＢメモリを使用しようとしたところ見当たらないことに気づきました。原則、院外へ持出しをしませんので、診療部、看護部等の関係者全員で１週間程度、当該医師の診察室内や関係病棟内等、あらゆるところを探しましたが見つからず、現在も発見に至っておりません。
このため、１月 27 日（金）に明石警察署へ遺失届を提出いたしました。

３該当する患者さんへの対応

ＵＳＢメモリに医療情報が保存されていた可能性のある患者さんには、お詫びとご報告の文書を１月 27 日（金）に郵送させていただきました。
また、電話もしくは対面でのご説明もさせていただいております。

４再発防止に向けた今後の取り組み

電子カルテからデータを取込む場合は、システム管理室が貸出す暗号化されたＵＳＢメモリを使用することとし、ＵＳＢメモリの使用が終わった後は、データを消去し、システム管理室にＵＳＢメモリを返却することにします。システム管理室は返却のあったＵＳＢメモリのデータ消去を確認します。

また、このような事態を重く受け止め、全職員に対し、今回の経緯を踏まえ、改めて個人情報の適正管理方法の周知徹底を図ります。

５その他

引き続きＵＳＢメモリの捜索に尽力します。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-041】近畿大学病院　近畿大学病院で発生した診療情報の流出事案について　2023年2月2日

この度、近畿大学病院において、受付業務の委託先である株式会社エヌジェーシーの社員（当時、以下元社員Ａ）が、患者様1名の診療情報を故意に外部に流出させたことが発覚しました。

元社員Ａは、業務中に友人である患者Ｂ氏が当院を受診したことを知り、スマートフォンを用いて氏名、生年月日、診察記録が記載された電子カルテを表示したパソコン画面を動画で撮影し、共通の友人であるC氏にSNSを通じて送信しました。当院では、事態発覚後すみやかに調査チームを立ち上げて調査を行うとともに、この動画がすでに削除されていることを確認しております。

当該患者様及びその関係者の皆様には、ご迷惑、ご心配をお掛けしましたことを深くお詫び申し上げます。このような事態を招いたことを重く受け止め、個人情報の取り扱いについてはこれまで以上に厳重に注意し、再発防止に努めてまいります。

1.事案の概要

令和4年（2022年）11月5日、受付業務委託先の元社員Ａが、当院を受診した患者Ｂ氏の診療情報（氏名、生年月日、診察記録）記載の電子カルテを表示したパソコン画面を私用スマートフォンで動画撮影し、SNSを通じて友人C氏へ送信しました。元社員Ａ、患者Ｂ氏、友人C氏はいずれも友人関係にあり、患者Ｂ氏が友人C氏から動画の存在を聞き、11月7日に当院に抗議されたことで事案が発覚しました。
その後、当院にてすみやかに調査チームを立ち上げ、調査を行ったところ、元社員Ａが動画の撮影と友人C氏への送信を認めました。また、友人C氏が、送られてきた動画を友人D氏に見せていたこともわかりました。さらに、元社員Ａが自身の家族1名と友人E氏に、友人C氏が友人Ｆ氏・Ｇ氏に、それぞれ患者Ｂ氏の受診について話をしたことも判明しました。

2.対応

令和4年（2022年）11月15日に、当院より患者Ｂ氏の代理人弁護士に対して、漏えいに関するお詫びと調査報告を行いました。
元社員Ａと友人C氏が保持していた動画については、11月8日までに削除されたことを確認しています。また、動画を見せられたり、受診の話を聞いたりした方々には、本件を第三者に口外していないことを確認し、今後も情報を拡散しないことを約束していただきました。
株式会社エヌジェーシーに対しては、事案発覚後ただちに再発防止措置の遵守徹底を強く申し入れました。その後検討を行い、令和5年（2023年）3月31日当直勤務をもって業務委託契約を終了することといたしました。なお、元社員Ａについては、11月7日付で株式会社エヌジェーシーを自主退職したという報告を受けています。
また、本件は個人情報漏えい案件として、文部科学省と個人情報保護委員会に報告しております。

3.再発防止策

今後、このような事態を招くことがないよう、下記のとおり取り組んでまいります
①当院において、委託業者、派遣業者従業員等の業務に通信機器を必要としない者に対して業務従事中の通信機器の所持を禁止し、12月14日に通知しました。
②すべての委託先に対して、業務遂行にあたり個人情報保護に関する取扱い注意事項を徹底するよう、改めて申し入れました。（11月14日～11月16日）
③当院の全教職員を対象に、個人情報保護規程の遵守について改めて周知し研修を実施しました。（11月28日～12月26日）
④当院の全教職員に本事例を共有しました。今後さらに個人情報の取扱いに関する研修会を予定しています。

近畿大学病院リリース文（アーカイブ）

株式会社エヌジェーシーリリース文（アーカイブ）

【セキュリティ事件簿#2023-040】尼崎市職員、泥酔して公用スマホ紛失。USBメモリ事件を恐れて虚偽報告し処分を受ける　～バッドニュースファーストは重要だが難しい～

兵庫県尼崎市は2023年1月27日、個人情報を含む公用スマートフォンを紛失し、虚偽の報告をしたとして、武庫地域課の男性職員を減給10分の1（1カ月）の懲戒処分にしたと発表した。スマホには市民の電話番号17件とLINE（ライン）の連絡先48人分などが登録されていたが、情報漏えいは確認されていないという。

市によると、職員は2022年12月1日夜、同僚らと飲食し、泥酔して午後11時半ごろタクシーに乗せられた。その後、職員の記憶はなく、帰宅途中に公用スマホを財布や免許証とともに紛失した。

職員は5日に尼崎南署に遺失物届を出していたが、上司には12日に「8日に紛失に気づき、12日に遺失物届を出した」と虚偽の説明をした。15日、職員の自宅近くで、別の職員がスマホを見つけた。遺失物届を取り下げたが、報告に不自然な点があり、同市で聞き取り調査など行ったところ、事実とは異なる報告が行われていたことが明らかとなった。

市の内規で公用スマホの持ち出しは許可が必要だが、同課は年単位で許可していた。市では22年6月、全市民の個人情報が記録されたUSBメモリーを委託業者が泥酔して一時紛失した。職員は「USBメモリーの紛失が頭をよぎり、自分で探そうと思った」と話したという。

市は紛失と発見について発表していたが「重要な報告をせず、誤った事実を公表することになり市政への信用を損ねた。情報漏えいのリスクを高めた」ことを処分理由とした。

出典①尼崎市、スマホ紛失の虚偽報告で懲戒処分 - 「USB紛失事案が頭をよぎり」

出典②泥酔し公用スマホ紛失、虚偽報告　尼崎市職員を懲戒処分