Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

持出情報同期したクラウドアカウントがフィッシング被害 - 千葉大付属病院

千葉大学医学部付属病院の医師が個人的に利用するクラウドサービス経由で、同院の患者情報が外部に流出した可能性があることがわかった。

同医師が利用するクラウドサービスのIDとパスワードが、フィッシング攻撃により詐取され、アカウントの権限を奪われたもの。クラウドサービス内には患者586人分の氏名、生年月日、性別、入退院日、診断名、入院目的、生活の自立度、意識状態などが保存されていた。匿名化といった対策は講じられていなかった。

同医師は4月中旬ごろ、専門医の資格試験を受ける準備に向けて関わった症例数などを調べるため、同院の規定に反してデータを自宅に持ち帰り、個人所有のパソコンに保存。

同端末に保存されたデータは、意図せずクラウドサービスと同期する設定となっており、4月25日に携帯電話に宅配業者を装うショートメッセージサービス(SMS)を用いたフィッシング、いわゆる「スミッシング攻撃」を受けて、同クラウドサービスのIDやパスワードをだまし取られた。

さらにフィッシング攻撃の被害に遭ったアカウントは、攻撃を受けた同日に攻撃者によってパスワードなどを変更されたため、同医師によってアクセスできない状態に陥った。

(Security NEXT - 2021/05/10 ) このエントリーをはてなブックマークに追加

PR

関連記事

今春に詐欺SMS対策機能を追加、機械学習による判別も - ソフトバンク
フィッシング報告が過去最多、6万件超 - 2年前の約7.7倍に
11月はEC関連フィッシングサイトが前月比1.5倍に
国の行政機関メルマガ、「DMARC」対応1割届かず - 設定不備が4割弱
年末年始の長期休暇に向けた準備を - 脆弱性やパッチ公開に注意を
11月のフィッシング攻撃、「報告件数」「URL件数」ともに高水準
10月は通信キャリアを装うフィッシングサイトが前月比3.6倍に
スマホ利用者2割がセキュリティに不安 - MMD調査
JPCERT/CC、インシデントや脆弱性の報告者を表彰 - CDIの笹田修平氏らを選出
HTTPS通信の脅威遮断、前年比3.1倍に - 約9割がマルウェア