米病院チェーンに不正アクセス、患者450万人の個人情報が流出

[鈴木聖子，ITmedia]

　全米で200以上の病院を展開するCommunity Health Systems社は8月18日、ネットワークが何者かに不正侵入され、患者約450万人の個人情報が流出した可能性があることを明らかにした。

　同社が米証券取引委員会（SEC）に提出した書類によると、コンピュータネットワークが4〜6月にかけて外部から攻撃されていたことが、7月になって発覚した。攻撃者はセキュリティ対策をかわして特定のデータをコピーし、社外に転送していたという。

　流出したのは患者の氏名、住所、生年月日、電話番号、社会保障番号などの情報で、系列の医療機関で過去5年の間に診察を受けた患者約450万人が影響を受ける。流出した情報の中にクレジットカード情報や診療記録などは含まれていないという。

　攻撃元についてはセキュリティ企業Mandiantの協力を得て調査した結果、中国の組織が高度なマルウェアを使ってAPT攻撃（長期持続的な標的型攻撃）を仕掛けたとの見方を強めている。既にマルウェアの除去は完了し、再発防止のための措置を講じたと同社は説明している。

　米セキュリティ機関のUS-CERTもこうした事態の再発を防ぐため、米連邦捜査局（FBI）や保健福祉省と連携して、脆弱性情報や対策に関する情報を医療機関との間で共有すると表明した。