米国の病院ネットワーク、患者450万人の個人データが流出--中国ハッカー集団の攻撃で

　米国の病院ネットワークCommunity Health Systemsは米国時間8月18日、米証券取引委員会（SEC）に提出した報告資料の中で、コンピュータネットワークが外部からの犯罪的なサイバー攻撃の標的になったことを認めた。

　中国のハッカー集団によるものと見られるこの攻撃によって、同病院チェーンで過去5年間に治療を受けた患者ほぼ450万人の個人データが盗まれた。

　Community Health Systemsは提出書類の中で、攻撃者はAdvanced Persistent Threat（APT）攻撃のグループであり、高度に洗練されたマルウェアを使って同病院のコンピュータネットワークに侵入したと述べている。

　攻撃者は、「医療保険の相互運用性と説明責任に関する法律（HIPAA）」で保護されている、医療記録を除く患者の識別情報を複製して転送した。具体的には、患者の氏名、住所、誕生日、電話番号、社会保障番号などだ。

　Community Health Systemsは提出書類で、患者のクレジットカード情報、医療記録、病歴はいっさい盗まれていないと強調している。この攻撃者はまた、機密扱いの知的財産データも取得できなかった。Community Health Systemsによると、このハッカー集団は主に、そのような知的財産データを追い求めているのだという。

　Community Health Systemsは、攻撃が判明して以降、米連邦捜査当局とフォレンジックセキュリティ企業Mandiantの双方に協力しており、Mandiantの力を借りて、問題改善とシステムからのマルウェアの根絶に取り組んでいると述べている。

　BitSight Technologiesが先ごろ公開した報告によると、ヘルスケア企業と製薬企業は、金融、公共サービス、小売りなどの分野と比較して、セキュリティの運用能力が最も低い部門だという。Targetのセキュリティ崩壊の影響が今も続いていることを考えると、これは深刻な話だ。