持出情報同期したクラウドアカウントがフィッシング被害 - 千葉大付属病院

千葉大学医学部付属病院の医師が個人的に利用するクラウドサービス経由で、同院の患者情報が外部に流出した可能性があることがわかった。

同医師が利用するクラウドサービスのIDとパスワードが、フィッシング攻撃により詐取され、アカウントの権限を奪われたもの。クラウドサービス内には患者586人分の氏名、生年月日、性別、入退院日、診断名、入院目的、生活の自立度、意識状態などが保存されていた。匿名化といった対策は講じられていなかった。

同医師は4月中旬ごろ、専門医の資格試験を受ける準備に向けて関わった症例数などを調べるため、同院の規定に反してデータを自宅に持ち帰り、個人所有のパソコンに保存。

同端末に保存されたデータは、意図せずクラウドサービスと同期する設定となっており、4月25日に携帯電話に宅配業者を装うショートメッセージサービス（SMS）を用いたフィッシング、いわゆる「スミッシング攻撃」を受けて、同クラウドサービスのIDやパスワードをだまし取られた。

さらにフィッシング攻撃の被害に遭ったアカウントは、攻撃を受けた同日に攻撃者によってパスワードなどを変更されたため、同医師によってアクセスできない状態に陥った。

（Security NEXT - 2021/05/10 ）ツイート