名古屋大学附属病院に不正ログイン 患者の氏名、診断名、手術日など流出の恐れ

[ITmedia]

　名古屋大学は2月24日、医学部附属病院の教職員のメールアカウントが不正ログインを受け、個人情報を含むメールが流出した可能性があると発表した。患者や医学部生、研究者の個人情報が閲覧される恐れがあるが、同日までに情報の悪用は確認されていないとしている。

　教職員のメールアドレスをかたったスパムメールが送付されていると、そのアカウントのその教職員から報告を受け、事態が発覚。調査の結果、2021年3月から9月にかけて、その教職員のものを含むアカウント3件に海外から不正アクセスがあったと分かった。

　メールサーバには、患者184人の氏名やID、生年月日、性別、診断名、術式、手術日、術者などの情報、医学部生のべ184人の氏名、学年、学籍番号、検査結果、病院関係者延べ48人の氏名、所属、電話番号、メールアドレスなどが保存されていた。

　名古屋大学は、報告を受けた当日に当該職員のPCをネットワークから遮断。アンチウイルスソフトでPC内をスキャンした上で、メールアカウントのパスワードを変更した。情報流出の可能性がある対象者には、状況の説明と対応窓口の案内を送信済み。

　同大によると、攻撃手法はパスワードを総当たりで探る「ブルートフォース攻撃」によるものという。今後は総当たり攻撃への対策強化、多要素認証の導入を検討。職員に対しては研修を強化し、個人情報保護や情報セキュリティに関する意識向上を図るとしている。