複数企業の健康保険組合が個人情報漏洩の可能性を発表した。漏洩の可能性があるデータには、氏名や住所、生年月日などが含まれていた。システムの委託先であるヒロケイがランサムウエアに感染したのが原因だ。削除すべき個人情報を消していなかったところへ、不正アクセスされた。委託先管理のずさんさが、サイバー攻撃によって浮き彫りとなった。
2024年7~10月、7社の健康保険組合が相次いで組合員の個人情報漏洩の恐れがあると公表した。
原因は、ヒロケイで発生した不正アクセスだ。ヒロケイはシステムのコンサルティングや開発・導入・保守などを手がけ、健康保険組合向けの基幹業務支援システムも開発する企業である。
健康保険組合から業務委託を受けたり、健康保険組合が別企業に委託した業務をヒロケイに再委託したりすることもある。今回、ヒロケイがランサムウエア攻撃に遭い、開発などを委託された際に取り扱っていた個人情報に不正アクセスされた。
漏洩した可能性があるデータは健康保険組合ごとに異なる。例えば神戸製鋼所健康保険組合では、氏名や生年月日、性別、住所、電話番号、保険証の記号・番号などの8万6936人分の情報が不正アクセスされた。2017年時点の資格喪失者や被保険者、被扶養者などのデータだ。賞与額や健康診断結果などの情報も含まれていた健康保険組合もある。
不正アクセスを受けたとされる対象人数は、7社の健康保険組合で10万人を超える。データは5年以上前のものがほとんどだ。
ランサムウエア攻撃の被害をきっかけに、健康保険組合の委託先管理と情報管理の甘さが浮き彫りとなった形だ。
サーバー10台にアクセスの痕跡
ヒロケイへのサイバー攻撃が分かったのは、2024年6月3日の午前8時55分。同社の複数サーバーにアクセス障害が発生し、データが暗号化されたことを確認した。
調査の結果、攻撃者はRDP(リモート・デスクトップ・プロトコル)接続を利用し、ヒロケイの社内ネットワークに侵入したことが分かった。同社は被害の原因を、サーバーの脆弱性とVPN(仮想私設網)装置の設定に不備があったと説明する。
ヒロケイは感染したランサムウエアを「Phobos」(フォボス)としている。Phobosは、ランサムウエアを開発するグループと、実際に社内ネットワークへ侵入する役割に分かれて組織的に攻撃する形態のRaaS(ランサムウエア・アズ・ア・サービス)の一種だ。マルウエアに詳しい三井物産セキュアディレクションの吉川孝志上級マルウェア解析技術者は、「RaaSは不特定多数の攻撃者が利用することから攻撃の手口も多種多様だ」と説明する。一般にはRaaSを使う攻撃者は、個人や小規模グループであることが多いとされている。
攻撃者は構成が不十分だったり、設定に不備があったりする脆弱な接続を特定して侵入。暗号化を施す際にPhobosを利用する。ヒロケイは、社内システム認証基盤であるActive Directory(AD)を攻撃者に乗っ取られたことも確認しているという。
