Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

持出情報同期したクラウドアカウントがフィッシング被害 - 千葉大付属病院

千葉大学医学部付属病院の医師が個人的に利用するクラウドサービス経由で、同院の患者情報が外部に流出した可能性があることがわかった。

同医師が利用するクラウドサービスのIDとパスワードが、フィッシング攻撃により詐取され、アカウントの権限を奪われたもの。クラウドサービス内には患者586人分の氏名、生年月日、性別、入退院日、診断名、入院目的、生活の自立度、意識状態などが保存されていた。匿名化といった対策は講じられていなかった。

同医師は4月中旬ごろ、専門医の資格試験を受ける準備に向けて関わった症例数などを調べるため、同院の規定に反してデータを自宅に持ち帰り、個人所有のパソコンに保存。

同端末に保存されたデータは、意図せずクラウドサービスと同期する設定となっており、4月25日に携帯電話に宅配業者を装うショートメッセージサービス(SMS)を用いたフィッシング、いわゆる「スミッシング攻撃」を受けて、同クラウドサービスのIDやパスワードをだまし取られた。

さらにフィッシング攻撃の被害に遭ったアカウントは、攻撃を受けた同日に攻撃者によってパスワードなどを変更されたため、同医師によってアクセスできない状態に陥った。

(Security NEXT - 2021/05/10 ) このエントリーをはてなブックマークに追加

PR

関連記事

2021年上半期の不正送金は376件 - 半数以上がOTP利用も被害
フィッシング報告が初の5万件超、毎分約1.2件 - URL数も記録更新
IPA、2021年前半の被害届出127件を公開 - ランサムや認証突破など
フィッシングサイトが増加 - 1カ月あたり8000件超、過去最多
2021年2Qの標的型攻撃に関する情報共有は40件 - J-CSIP
コロナ禍2度目の夏期休暇 - パッチチューズデーと重なるおそれも
小中学校配布端末でのトラブル、約2割が経験 - 加害者になってしまうケースも
2021年2Qのインシデントは減少 - スキャン行為は増加
「Apple」かたるフィッシングサイト、前月比約5.4倍に
6月はフィッシングサイトが増加、過去2番目の件数に - 報告数は減少