サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 岡山大学病院の医師にフィッシング攻撃、クラウドサービスのデータにアクセスできず

岡山大学病院の医師にフィッシング攻撃、クラウドサービスのデータにアクセスできず

目次
  • 今回の解説ニュース
  • ニュースから読み取れる3つの課題と対策
  • シャドーⅠTについて

ニュース解説

岡山大学病院の医師にフィッシング攻撃、クラウドサービスのデータにアクセスできず

国立大学法人岡山大学病院は8月4日、フィッシング詐欺による患者情報漏えいについて発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

個人情報を保存していたクラウドサービスのアカウントが乗っ取られてしまい、アクセスできなくなってしまったということです。個人端末やクラウドサービスが業務利用される場合に、組織が気を付けるべきポイントについて説明します。

今回のインシデントは、病院の医師が患者情報を個人が契約するクラウドサービスへ保存していたところ、そのアカウントがフィッシング詐欺の被害にあってしまい、攻撃者が保存されたデータを閲覧可能な状態になってしまったということです。医療システムへの不正アクセスは確認されていないものの、警察や関係各所に協力を仰ぎながら、引き続き問題解決にあたっているということです。

病院側は再発防止策として、個人情報の取り扱いについて指導を徹底するとともに、定期的に個人情報の保有状況を調査することで、各職員のセキュリティ意識を向上させるということです

ニュースから読み取れる3つの課題と対策

今回のインシデントには大きく3つの課題があります。それは「個人契約のクラウドサービスを業務利用していたこと」「アカウントがフィッシング詐欺にあったこと」「組織の規約に違反していたこと」です。フィッシング詐欺と規約違反については一般的なセキュリティ対策となりますので、今回は個人契約のクラウドサービスを業務利用していたことの対策について説明します。

個人契約のクラウドサービスを業務利用していたことについて、具体的なデータの持ち出し経路は不明ですが、一般的にはネットワークやUSBメモリなどを経由して個人契約のクラウドサービスへコピーされていたことが考えられます。

ネットワーク経由でデータが持ち出されていた場合、外部ネットワークへの通信が適切に制限されていることが必要です。具体的には、VPNやCASBなどで制限することが可能です。CASBとは、Cloud Access Security Brokerの略で、クラウドサービスにおけるセキュリティの考え方です。クラウドサービスの利用状況を可視化して、利用できるクラウドサービスを組織側で制御し、個人契約のクラウドサービスが許可なく業務利用されることを制限します。パソコン自体が持ち出し可能であった場合も、CASBの利用をシステム側で強制することによってデータの持ち出しを防ぐことが期待できます。

また、USBメモリなどを経由してデータが持ち出されていた場合、パソコンのUSB利用を制限することが必要です。OSの設定やエンドポイントに導入されるセキュリティ製品でUSB利用を制限できる場合があります。USBメモリは利用するのがお手軽なうえに紛失のリスクも高いので、代替案を用意したうえで適切に制限することをお勧めします。

シャドーⅠTについて

今回のインシデントはシャドーITの問題が大きいと考えられます。今回のインシデントにあてはめながら説明します。

シャドーITとは、組織が許可していないパソコンやスマートフォンなどのデバイスや、メールやストレージなどのクラウドサービスを個人で契約して業務利用することです。組織で管理するIT資産と比較してセキュリティ対策が十分でない可能性が高く、結果としてインシデントの原因となっています。今回はセキュリティ対策が十分ではない個人アカウントのクラウドサービスがフィッシング詐欺にあったことが原因の一つになっているため、まさにシャドーITのリスクに該当すると考えられます。

ただし、個人情報を持ち出してしまった本人は、自宅でも仕事をするなどの目的で、悪意なく個人で契約したクラウドサービスを利用していたことも考えられます。組織としては適切なセキュリティ対策をすることで、今回のような不幸な従業員を生まない仕組みを整備していただきたいですね。

関連記事「シャドーⅠTに気を付けて」

https://www.shiftsecurity.jp/blog/20210716-1

音声で聴かれるかたはこちら

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ