患者450万人の個人情報流出、発端はOpenSSLの脆弱性だった

米病院チェーンから患者450万人の個人情報が流出した事件は、4月に発覚したOpenSSLの重大な脆弱性を突く攻撃でネットワークに侵入されていたことが分かった。

[鈴木聖子，ITmedia]

　米病院チェーンのCommunity Health Systems（CHS）社から患者約450万人の個人情報が流出した問題で、米セキュリティ企業TrustedSecは8月19日、4月に発覚した「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性を突く攻撃が、流出の発端だったことが分かったと伝えた。

　CHSのネットワークは4〜6月にかけて外部から攻撃され、系列の医療機関を受診した患者約450万人の氏名や住所、社会保障番号などが流出したとされる。TrustedSecは、この問題に関する調査に詳しい関係者から情報を入手したという。

　それによると、攻撃者はHeartbleedの脆弱性を突いてCHSのJuniper製デバイスのメモリからログイン情報を収集し、それを使って仮想プライベートネットワーク（VPN）にログインしていた。そこからCHSのネットワークをかぎ回り、データベースに保存されていた患者450万人の情報を入手したとみられる。

　Heartbleedの脆弱性は4月上旬に発覚し、OpenSSLの更新版が4月7日に公開された。JuniperのWebサイトに掲載された情報によれば、同社のSSL VPN製品向けのパッチリリースは5月6日までに行われたようだ。

　「ゼロデイ（Heartbleedの問題が公表された日）とパッチデイ（Juniperがパッチを公開した日）の間は、監視と検出がセキュリティ対策の決定的な要素になる最も重大な期間」とTrustedSecは述べ、「できるだけ早く問題を修正するか、事前に補完的なコントロールを導入しておけば、今回のような流出は防げたかもしれない」と指摘している。

変更履歴……パッチリリースに関する記述を変更しました。