医師のクラウドアカウントに不正アクセス - 愛知県がんセンター

愛知県がんセンターにおいて、同センターの医師が利用するクラウドサービスのアカウントが不正アクセスを受け、個人情報が流出した可能性があることがわかった。

同医師が利用するクラウドサービス「Microsoft 365」のアカウント1件のパスワードが窃取され、不正アクセスを受けたことが判明したもの。

送受信した一部メールが見当たらないことを不審に思った同医師が、7月13日に医療情報管理部に相談し、調査を行ったところ、不正アクセスを受けていたことが判明。同アカウントに対し、海外より5月31日から7月14日にかけて不正アクセスが行われていた。

同アカウントで送受信されたメールについて、患者情報の有無を調べたところ、パスワードを設定せずにのべ183人分の患者に関する個人情報を扱っており、攻撃者が取得できる状態だった。メールによって対象となる個人情報の項目は異なるが、患者の氏名や生年月日、患者のIDのほか、病状、手術記録、転帰、患者家族の氏名、住所、紛争状況などが含まれる。

記録が残っておらず、実際にアクセスがあったかは不明。メールの多くは同センター職員とのやり取りだが、個人情報を扱う場合はパスワードを設定するルールになっていたが守られていなかったという。

（Security NEXT - 2021/09/08 ） ツイート

PR

関連記事

FW脆弱性を突く不正アクセス、VPN経由で侵入 - ロジックベイン
クラウド用ネットワークに侵入、個人情報やシステム情報が流出か - STNet
寄付金申請サービス侵害、第三者が管理者権限を不正利用 - CAC
年末にランサム被害、提供クラウドに支障なし - 関西総合システム
社内侵入の痕跡確認されず、クラウドサービスは個別対応 - BBT
職員アカウントが侵害、迷惑メールの踏み台に - 中部生産性本部
クラウドサービスが侵害、顧客従業員情報が流出か - ITサービス事業者
従業員個人PCがマルウェア感染、業務用認証情報が流出 - QUICK
作業服通販サイトに不正アクセス - 2024年に判明、新サイトへ移行
SonicWallのクラウドバックアップに攻撃 - FW情報が漏洩