シンガポールが「同国史上最悪」とするデータ流出に見舞われた。首相を含む患者150万人分の個人情報が流出したという。
被害を受けたのは、シンガポール最大の医療グループSingHealthの患者だ。
2015年5月1日〜2018年7月4日にSingHealthが運営する専門外来医院や総合病院を訪れた患者150万人の個人情報にアクセスされ、コピーされた。流出したデータには、患者の氏名、国民登録番号、住所、性別、人種、生年月日などが含まれている。
また同国保健省と情報通信省(MCI)は現地時間7月20日の共同声明で、外来患者約16万人分の医療データが流出したが、記録の改変や削除はなかったと述べた。
両省は、「診断や検査の結果、医師の所見などの患者記録は流出しておらず、また、他の公的医療ITシステムで同様の情報が流出した形跡は見つかっていない」としている。
IHiS(Integrated Health Information Systems)が2018年7月4日に、異常な活動に最初に気づいた。IHiSは公的医療部門の技術当局で、地域の公的医療機関のITシステムの運用を担当している。
IHiSは不正行為を阻止しようと「直ちに行動」し、「追加のサイバーセキュリティ予防策」を講じるとともに、事件を詳しく調査した。IHiSは、サイバー攻撃があったことを確認した後、7月10日に保健省とサイバーセキュリティ局(CSA)に通知した。
攻撃が検出されたのは7月4日だったが、データ流出は6月27日から始まっていたことが後から明らかになった。7月12日に捜査報告書が提出されたが、捜査はその後も続いている。
CSAとIHiSは声明の中で、攻撃は「意図的で、対象が絞られており、計画性が高い」ものだったとした。 また、「軽い遊び感覚のハッカーや犯罪集団によるものではない。攻撃者らは特に、Lee Hsien Loong首相の個人情報と外来で処方された薬の情報を繰り返し標的にした」と説明している。
7月4日に明らかにされた後、さらなるデータの流出はなかった。IHiSは、ワークステーションのインターネットアクセスの一時的な隔離、ユーザーとシステムのアカウントのリセット、追加のシステム監視制御の実装など、SingHealthのITシステムを強化するさらなる対策を講じた。
CSAによると、ハッカーらは特定のフロントエンドのワークステーションに侵入することで、SingHealthのITシステムにアクセスした。さらにデータベースにアクセスするための特権アカウントの認証情報を取得できたという。
Lee首相はFacebookへの投稿で、「攻撃者が何を見つけ出したかったのかはわからない。おそらく、国家機密か、少なくとも私を困惑させる何かを探していたのだろう。そうであれば失望しているはずだ。私の医療データは、通常は人に話すものではないが、その中に驚くような情報はない」と述べた。
