Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

持出情報同期したクラウドアカウントがフィッシング被害 - 千葉大付属病院

千葉大学医学部付属病院の医師が個人的に利用するクラウドサービス経由で、同院の患者情報が外部に流出した可能性があることがわかった。

同医師が利用するクラウドサービスのIDとパスワードが、フィッシング攻撃により詐取され、アカウントの権限を奪われたもの。クラウドサービス内には患者586人分の氏名、生年月日、性別、入退院日、診断名、入院目的、生活の自立度、意識状態などが保存されていた。匿名化といった対策は講じられていなかった。

同医師は4月中旬ごろ、専門医の資格試験を受ける準備に向けて関わった症例数などを調べるため、同院の規定に反してデータを自宅に持ち帰り、個人所有のパソコンに保存。

同端末に保存されたデータは、意図せずクラウドサービスと同期する設定となっており、4月25日に携帯電話に宅配業者を装うショートメッセージサービス(SMS)を用いたフィッシング、いわゆる「スミッシング攻撃」を受けて、同クラウドサービスのIDやパスワードをだまし取られた。

さらにフィッシング攻撃の被害に遭ったアカウントは、攻撃を受けた同日に攻撃者によってパスワードなどを変更されたため、同医師によってアクセスできない状態に陥った。

(Security NEXT - 2021/05/10 ) このエントリーをはてなブックマークに追加

PR

関連記事

4月は暗号資産狙うフィッシングサイトが増加
フィッシングで悪用されたブランド数が過去最多
フィッシング報告数が過去最多 - 上位5ブランドで8割超
2021年1Qの標的型攻撃メール報告は13件 - 「Emotet」関連報告は収束へ
巧妙化するランサム攻撃、被害の多くが「VPN機器」脆弱性に起因
フィッシングで悪用されたブランド数が過去最多 - 報告やURLも大幅増
2月はクレカ会社のフィッシングサイトが1.3倍に - BBSSレポート
フィッシングURL、前月比22.9%減 - 報告は4カ月連続で3万件超
1月のフィッシングサイト、前年同月の倍に - 6割弱が偽ECサイト
政府、ISP経由で国内Emotet感染者に注意喚起