Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

持出情報同期したクラウドアカウントがフィッシング被害 - 千葉大付属病院

千葉大学医学部付属病院の医師が個人的に利用するクラウドサービス経由で、同院の患者情報が外部に流出した可能性があることがわかった。

同医師が利用するクラウドサービスのIDとパスワードが、フィッシング攻撃により詐取され、アカウントの権限を奪われたもの。クラウドサービス内には患者586人分の氏名、生年月日、性別、入退院日、診断名、入院目的、生活の自立度、意識状態などが保存されていた。匿名化といった対策は講じられていなかった。

同医師は4月中旬ごろ、専門医の資格試験を受ける準備に向けて関わった症例数などを調べるため、同院の規定に反してデータを自宅に持ち帰り、個人所有のパソコンに保存。

同端末に保存されたデータは、意図せずクラウドサービスと同期する設定となっており、4月25日に携帯電話に宅配業者を装うショートメッセージサービス(SMS)を用いたフィッシング、いわゆる「スミッシング攻撃」を受けて、同クラウドサービスのIDやパスワードをだまし取られた。

さらにフィッシング攻撃の被害に遭ったアカウントは、攻撃を受けた同日に攻撃者によってパスワードなどを変更されたため、同医師によってアクセスできない状態に陥った。

(Security NEXT - 2021/05/10 ) このエントリーをはてなブックマークに追加

PR

関連記事

先週注目された記事(2024年4月21日〜2024年4月27日)
2024年1Q、フィッシングサイトが増加 - サイト改ざんやスキャン行為は減少
フィッシングURLが前月比約84%増 - 使い捨てURLを悪用
警察庁、サイバー被害のオンライン通報窓口を設置 - 相談なども対応
「違法情報」の通報が約28.2%増 - 「犯罪実行者募集」は4000件超
フィッシング報告が前月比約35%減 - 悪用URLは約23%増
1年で不正サイトへのアクセス7億件をブロック - 前年から4割増
2023年の不正アクセス認知件数、前年比2.9倍に急増
J-CSIP、2023年4Qは脅威情報15件を共有 - 巧妙なフィッシングの報告も
ランサムウェア「ALPHV」、医療分野中心に被害拡大