藤田医科大学病院で患者1365人分が漏洩、私物PCがサポート詐欺被害

愛知県の藤田医科大学病院は6月3日、看護師の私物PCがサポート詐欺の被害に遭い、患者1365人分の個人情報が外部漏洩した可能性があると発表した。漏れた恐れがあるのは氏名・住所・生年月日・患者ID・病歴・手術内容・アレルギー情報など医療データの中核部分で、マイナンバーや決済情報は含まれない。看護師は院内規程に反し、業務データを個人PCに保存していた。

サポート詐欺は遠隔操作で完結する #

サポート詐欺は「ウイルスに感染しました」「Microsoftサポートに連絡を」といった偽の警告画面をWebで表示し、画面に書かれた番号に電話させて遠隔操作ツールを入れさせる古典的なソーシャル攻撃だ。一度遠隔操作が成立すれば、画面に映るファイル・ブラウザ保存パスワード・メールクライアントの中身が攻撃者から事実上すべて見える。マルウェアによる派手な侵入と違って、操作しているのは「正規ユーザー」なので EDR の挙動アラートにも引っかからない。

しかも被害端末が「個人の私物」だと、組織の EDR / DLP / プロキシ監視の管理外であり、検知も封じ込めも追跡も組織側からは打てない。今回の漏洩範囲が「私物PCに持ち出されていたデータ」と一致しているのは、まさに管理外端末で起きた事故の典型像である。

シャドーITは医療現場の宿題 #

院内規程で「業務データの私物端末保存禁止」が明文化されていても、現場では「家で続きをやる」「学会発表の準備で持ち帰る」といった理由で日常的に逸脱が起きる。ルール違反を罰則で抑え込むより、データを取り出せない作業環境を組織側が設計することが本質的な防御になる。

VDI・MAM・閲覧専用のセキュアブラウザなど、技術側で「そもそも持ち出せない仕組み」を実装しない限り、サポート詐欺のような低コスト攻撃が今後も医療データを侵食し続ける。1365人という数字は氷山の一角に過ぎない。