多摩北部医療センタ―への不正アクセス、医師の端末がマルウェア「Emotet」の亜種に感染（東京都）

東京都は6月7日、5月20日に発表した公益財団法人東京都保健医療公社が運営する多摩北部医療センタ―の医師の端末・メールアカウントへの不正アクセス被害に関しての続報を発表した。

これは5月15日午後5時56分に、同院の医師の端末・メールアカウントに対する不正アクセスがあり、同端末内の情報を利用し都庁メールサーバや同公社メールサーバ、その他当該医師とメールの送受信があったユーザーにスパム攻撃が確認された件について、原因究明と被害の特定、再発防止の取組の対応状況を報告したもの。

同公社では外部専門機関に、当該職員の職務用パソコン端末と個人用パソコン端末等の調査を委託したところ、下記4点について判明した。

1.ウイルス感染の原因は、5月1日に職務用パソコンへ送信された不正アクセスを意図したメールの添付ファイルを5月2日に当該職員が開封した結果によるものと特定。

2.ウイルスは、一般的にOutlookに関する情報の窃取を行い、その情報をC&Cサーバにアップロードし、そこから得られたメールの宛先に対して感染拡大を図るマルウェア「Emotet」の亜種と推定される。

3.不正アクセスの被害が確認されたのは、当該職員の職務用パソコン端末のメールボックスのみで、ウイルスにより暗号化されていたため流出した情報の特定はできなかった。
ハードディスクやファイルサーバに不正アクセスされた痕跡は無く情報流出の被害はない。
当該職員の個人用パソコンについてはウイルスの感染はなく個人情報の流出は確認されなかった。

4.多摩北部医療センターの全端末でウイルススキャンを実施し、感染及び感染疑いがあった18台の端末は、全て本件との関連はなく個人情報の流出は確認されなかった。

また、都によると6月6日時点で公社や都庁のメールサーバ等に対し下記の通り計46件のスパムメール攻撃が確認されているが、いずれもウイルススキャン機能や受信者による当該メールの削除等で感染には至っておらず、具体的な被害はない。

公社メールサーバ：30件
都立病院・院内LAN：6件
都庁メールサーバ：5件
その他不正アクセスの被害にあった職員とメールの送受信があった方：5件

個人情報の流出について、5月20日の発表後、6月6日時点で38件の問い合わせがあったが、患者情報等が記載されたメール24件の流出は現時点で確認されていないとのこと。

同公社では、スパム攻撃をブロックする対策ツールの導入等の技術的な対策を実施するとともに、現在停止中の外部から職務用パソコン端末に送信されたメールを閲覧する機能についても今後、ID、パスワードに加え証明書の登録を必要とするなどセキュリティ対策を強化、さらに個人情報の管理や情報セキュリティ対策をまとめた緊急対策のリーフレットを作成し公社全職員に周知徹底を図り再発防止に努めるとのこと。