2019年5月20日、東京都保健医療公社は多摩北部医療センターの職員端末が不正アクセスを受け、端末内の情報が流出した可能性があると発表しました。また職員関係者に対してスパムメールが送出される事案がその後発生し、これは端末内に保存された情報が流用されたとみられます。ここでは関連する情報をまとめます。
公式発表
インシデントタイムライン
| 日時 |
出来事 |
| 2019年5月1日 |
職員宛にマルウェアが添付されたメールが届く。 |
| 2019年5月2日 |
職員が添付ファイルを開き、マルウェアに感染。 |
| 2019年5月15日 17時56分 |
多摩北部医療センターメールサーバーに不審メールが届く |
| : |
多摩北部医療センター職員端末やメールアカウントで不正アクセス発生 |
| 2019年5月16日 9時頃 |
公社、都庁の複数職員にスパムメールが届く |
| 同日 9時半頃 |
多摩北部医療センター職員の端末をネットワークから遮断 |
| 同日 12時45分頃 |
多摩北部医療センター院内LANの影響調査開始 |
| 同日 14時半頃 |
警視庁へ通報 |
| 同日 16時半頃 |
警視庁職員や都職員(セキュリティ担当)が公社事務局を訪問。状況確認を実施。 |
| 同日 21時1分頃 |
東京都より送信元のIPアドレスの情報提供。公社メールサーバーで遮断。 |
| 2019年5月17日 |
侵害されたアカウントの被害件数を確認。 |
| 2019年5月18日 5時20分頃まで |
流出の可能性があるメールアドレス宛に連絡。 |
| 2019年5月20日 |
東京都保険医療公社が不正アクセス被害を発表。 |
| 2019年6月7日 |
東京都保険医療公社が外部組織の調査結果を発表。 |
不正アクセスによる被害
- 多摩北部医療センター職員(医師)1名の端末、メールアカウントが不正アクセスを受けた。
- 流出可能性があるメールボックスの状況は以下の通り。
| ① 侵害アカウントのメール保管件数 |
8,335件 |
| ② ①に含まれるアドレス件数 |
1,533件 |
| ③ ①に含まれる患者情報等の個人情報のメール件数 |
24件 |
| ④ ③に含まれる個人情報の件数 |
3,671人(本文15人、添付ファイル3,656人) |
- 5月20日の段階では④の情報流出の事実は確認されていない。
- ②の内、メールアドレス以外の個人情報流出の可能性ある人へは電話、郵便で連絡中。
- 職員端末から接続できたサーバーの情報も流出した可能性がある。
- 流出した情報を用いたとみられるスパムメールが発生している。
| 都庁メールサーバー宛 |
5件 |
| 公社メールサーバー宛 |
30件 |
| 都立病院、院内LAN |
6件 |
| その他やり取りのあったアドレス宛 |
5件 |
- 差出人名は職員の名前が使われている。
- 実際には職員のアドレスからは送出されていない。
- メール本文は英文でマルウェアに感染するとみられる添付ファイル付き。
- 5月20日時点の発表10件から6月6日時点で46件のメールが報告されている。
不正アクセスの原因
- メールの添付ファイルを開きマルウェア「Emotet」に亜種に感染したことによる。
- 職員は「不審なメールを開いた自覚はない」と話していることが報じられていた。*1
その他
- 不正アクセス発生事後の全台(329台)のスキャンにより別端末で感染事実が確認された。
- スキャンは多摩北部医療センターを対象に行われたもの。
| マルウェア感染 |
9台 |
| マルウェア感染の疑い |
10台 |
- 第二報ではいずれも今回のEmotet感染事案との関連はないとして報告された。
mail.tokyo-hmt.jpに接続試行するEmotet
any.run
- Any.Runでmail.tokyo-hmt.jpに接続を試みるEmotetの解析ログが残っている。
- mail.tokyo-hmt.jpは公社のメールサーバー。
- 解析日は2019年5月15日。
- このEmotetと今回の事案との因果関係は不明。
更新履歴
- 2019年5月21日 AM 新規作成
- 2019年5月22日 AM 続報追記
- 2019年6月8日 AM 続報追記
