米病院チェーンへのサイバー攻撃、「Heartbleed」バグを悪用か

　中国のハッカー集団がCommunity Health Systemsの患者450万人の個人情報を盗んだ事件で、この集団が広範なセキュリティ脆弱性「Heartbleed」を悪用していたと、Bloombergが米国時間8月20日に報じた。

　米国第2位の規模を持つ営利病院チェーンCommunity Health Systemsは19日、中国に拠点を置くハッカー集団が同チェーンのネットワークにアクセスし、患者450万人分のデータを盗んだと発表した。盗まれたデータには、同チェーンで診察または治療を受けた患者の社会保障番号、氏名、住所が含まれていた。Community Health Systemsは米証券取引委員会（SEC）に提出した資料の中で、ハッカー集団は「高度に洗練されたマルウェア」を使ってセキュリティ対策をかわし、同チェーンのシステムを攻撃したと述べているが、サイバー攻撃の詳細には触れていない。

　匿名の捜査関係者がBloombergに語ったところによると、中国のハッカー集団はCommunity Health Systemsからデータを盗むのにHeartbleedバグを悪用したとみられるという。

　4月にその存在が初めて公表されたHeartbleedは、ウェブ上の情報の暗号化に広く使われているオープンソースソフトウェア「OpenSSL」に影響を及ぼす。これはデータサーバに保存された情報（多くの場合はユーザーデータや個人情報）をハッカーに対して無防備な状態でさらしてしまうというものだ。Heartbleedが他の脆弱性と異なるのは、これはOpenSSLフレームワークそのものが抱える固有の性質であり、OpenSSLは多くのウェブサイトで使用されているため、ウェブ上の膨大な数のサーバが無防備になっていた点だ。このバグを悪用してサーバのデジタル暗号鍵を盗むことに成功し、通常は暗号化されている通信にアクセスしたハッカーもいる。

　Heartbleedが発見されて以来、世界中の企業がバグの修正に取り組んできたが、6月の時点でまだ、推定30万台のサーバがこのバグに対して無防備な状態にあった。さらに取り組みの中で、一部の国の政府がこの脆弱性について把握し、自らが優位に立つために利用してきた可能性があることも明らかになった。

　Community Health Systemsは、法執行機関と共同で、4～6月に発生した今回のハッキングの首謀者を突き止めるべく取り組んでいると述べている。ハッカー集団がHeartbleedを悪用して同チェーンのサーバにアクセスしたとすれば、この脆弱性が公開された後、多くの企業が修正を施しているさなかにハッキングされたことになる。

　Community Health Systemsとセキュリティ専門家の両方が抱く疑問は、そもそもなぜ、この病院チェーンがハッキングされたのかという点だ。この一件を調査したセキュリティ企業のMandiantは、犯行に及んだハッカーたちが、軍需、エンジニアリング、金融、ヘルスケア関係の企業を標的にしている集団に属していると述べている。