エセックスNHSトラスト、2年越しにQilinによる侵害を確認

エセックスNHSトラスト、2年越しにQilinによる侵害を確認

エセックスのNHSトラストが、Qilinランサムウェア攻撃の際に患者記録が盗まれたことを確認した最新の医療機関となった。この事実が明らかになったのは、同グループが初めてNHSシステムを攻撃してから約2年後のことだ。拡大するNHSランサムウェア侵害と患者データ保護の問題は、もはや病院のITチームだけの技術的な課題ではない。記録を盗まれた患者にとって、不正利用、フィッシング、なりすましのリスクは、すでに長い間時を刻み続けてきたのだ。

この公表は、医療機関におけるランサムウェアインシデントが、整然とした時間軸で展開されることはめったにないことを改めて示している。被害者は波状的に特定され、通知は遅れて届き、何が盗まれたかの全容解明には数ヶ月、時には数年かかることもある。

記録の盗難を確認したNHSトラスト

Qilinグループは2024年6月にNHSのサプライヤーであるSynnovisを最初に標的とし、キングス・カレッジ病院やガイズ＆セント・トーマス病院など、ロンドンの複数の病院で輸血サービスや病理業務に混乱をもたらした。この攻撃により手術が中止され、臨床医は重要な検査結果にアクセスできないまま業務を強いられた。

エセックスのトラストが確認したことは、その影響範囲が拡大していることを意味する。病院がシステムの監査を続け、流出したデータの山と照合する中で、正式に影響を受けた患者に通知できる段階に達したトラストが増えている。この種のNHS侵害で対象となるデータの種類には、通常、氏名、生年月日、NHS番号、診療記録、検査結果、そして場合によっては患者アカウントに関連する財務情報が含まれる。

このタイムラインがこれほど懸念されるのは、今まさに通知を受けた患者が、最大2年もの間、自分が知らないうちに悪用される可能性にさらされていたという点だ。クレジットカード番号のように有効期限が切れることはなく、変更不可能な個人情報を含むため、犯罪市場で価値を持ち続ける。

なぜ健康記録がランサムウェアの高価値ターゲットなのか

健康記録は犯罪フォーラムにおいて、金融情報単体よりも一貫して高値で取引される。1件の医療記録には、保険情報、投薬履歴、近親者の詳細など、なりすまし詐欺に必要なすべてが含まれうる。Qilinのようなランサムウェア運用者にとって、医療機関は二重の動機を提供する。診療業務が生きたデータに依存しているため、支払いを迫るプレッシャーが強く、身代金が支払われなければ販売可能な価値の高いデータセットが手に入るのだ。

NHSはその規模が巨大で、トラストごとにシステムが異なり、サードパーティサプライヤーが最も弱い部分となることが多いため、特に魅力的な標的となる。Synnovisへの攻撃はまさにそのパターンを示した。病院を直接侵害するのではなく、攻撃者は複数の病院ネットワークに深く統合されたサプライヤーを侵害したのだ。

この種の侵害からは、当然のようにソーシャルエンジニアリング攻撃が発生する。攻撃者が実在する患者データを手に入れれば、非常に説得力のあるフィッシングメッセージや音声フィッシング（ビッシング）を作り出すことができる。これは他の有名なインシデントでも見られた戦術だ。Cushman & Wakefieldのビッシング攻撃でShinyHuntersが50万件の記録を主張した事例では、盗まれた組織データが、スタッフを標的とした不正な電話に信憑性を与えるために使われた。NHSの患者も、自分の個人健康情報が犯罪者の手に渡った場合、同様のリスクに直面する。

NHSオンラインポータル利用時に患者が自衛する方法

ほとんどの患者にとって差し迫った疑問は「実際に何ができるのか」という実務的なものだろう。その答えは、たとえ侵害が医療提供者側で起きたとしても、自分自身のアクセス習慣が重要だと認識することから始まる。

NHSの患者は、NHSアプリやPatient Accessなどのプラットフォームを通じて、予約、検査結果、リピート処方を管理することが増えている。これらのポータルには機微な臨床データが保持されており、保護されていないネットワークや共有ネットワークでログインすることは、NHS自身のインフラ内にあるリスクに加えて、さらなる露出ポイントを生み出す。

まず、自分がトラストから侵害通知を受け取っているかどうかを確認する。受け取っている場合は、それを真剣に受け止め、心当たりのない医療費請求、保険に関する問い合わせ、本人確認リクエストなど、アカウントに不審な動きがないか監視する。

次に、すべての医療アカウントに強力で一意のパスワードを使用し、サービスがサポートしている場合は2要素認証を有効にする。ある侵害で入手したユーザー名とパスワードを他のアカウントに使い回すクレデンシャルスタッフィング攻撃は、大規模な医療データ窃取の後に日常的に行われている。

第三に、NHSを名乗り、個人情報の確認を求める一方的な連絡には、疑いの目を持つこと。正規のNHSの連絡が、電話やメールでパスワードや財務情報を尋ねることは決してない。

公衆Wi-Fiでの医療データのための暗号化とVPNのベストプラクティス

NHSポータルや他の医療アカウントに、外出先や公衆Wi-Fiの利用中に定期的にアクセスするなら、接続を暗号化することは、現実的なリスクを減らす簡単なステップだ。カフェ、図書館、病院、交通ハブの公衆ネットワークは安全ではなく、通信は傍受される可能性がある。

信頼できるVPNを使用すると、デバイスとインターネットの間に暗号化されたトンネルが作成され、同じネットワーク上の誰かがログイン認証情報やセッショントークンを取得するのが格段に難しくなる。これはNHS自身のシステム内部で発生する侵害を防ぐものではないが、日和見的な盗聴の経路をふさぐことにはなる。

VPNの使用に加えて、デバイスのOSやアプリを最新の状態に保つことは、マルウェアが暗号化の適用前にデータを傍受するために悪用する脆弱性にパッチを当てることになる。電話やノートパソコンのフルディスク暗号化は、デバイスを紛失したり盗難にあったりしても、キャッシュされたNHSログインデータがすぐに読み取られないことを意味する。

これが意味すること

QilinによるNHS侵害の報告数増加は、スローモーションで進行する情報公開の危機だ。トラストはいまだに何が盗まれたのかを解明中であり、数年前に影響を受けた患者が今になってようやく確認を受けている。このギャップにより、被害者が気付かないまま、盗まれた記録が出回る長い猶予期間が生じている。

この状況から最も重要なことは、NHSランサムウェア侵害における患者データ保護は受動的なものではないということだ。ランサムウェアグループが病院のサプライヤーを攻撃するのを防ぐことはできない。しかし、自分のデータが流出した後に攻撃者がそれを使って何ができるか、その影響を減らすことはできる。

まず、どのNHSやヘルスケアプラットフォームにアカウントを持っているかを棚卸しし、それぞれに固有のパスワードと2要素認証が設定されていることを確認し、医療に関する一方的な連絡には高い警戒心を持って臨むことから始めよう。自宅外からそれらのプラットフォームに接続する際は、暗号化された接続を使用する。大規模な医療侵害がまれな出来事ではなく繰り返し現実化する環境下では、自分自身のデータセキュリティ習慣を定期的に見直すことが最も直接的な対応策となる。