シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

close search bar

申し訳ありませんが、この言語ではまだご利用いただけません

close language selection

サードパーティのセキュリティが原因の医療業界での大規模データ漏洩が発生

Taylor Armerding

Jun 24, 2019 / 1 min read

「お客様の情報の安全性、セキュリティ、プライバシーが最優先事項です」という企業の発表があったときには、そのデータの安全性、セキュリティ、プライバシーが最近侵害されたと思ってほぼ間違いありません。

当該企業で直接問題が発生していないにもかかわらず漏洩は起こりました。サイバーセキュリティの専門家たちは、自社のセキュリティが厳格であってもそれだけでは不十分だということを何年も前から説いてきました。自社のデータにアクセスできるサードパーティーのセキュリティが脆弱であれば、自社のセキュリティも不備になります。サードパーティーのセキュリティが侵害されれば、自社のセキュリティも侵害されます。

最新の大規模データ漏洩で、このような一件がまたしても明るみに出ました。

amca違反2

約2,000万人に影響を及ぼすAMCAの漏洩

医療検査の巨大企業Quest DiagnosticsLabCorpは、両社の集金代行業者American Medical Collection Agency(AMCA)に対する侵害により約1,940万人の患者の個人情報と医療情報が漏洩したことを、証券取引委員会(SEC)への提出を通じて公表しました。Questは、この侵害による影響を1,170万人、LabCorpは770万人に上ると推定しています。

数日後、同じ侵害によって422,600人の患者のデータが漏洩した可能性があるというOpko Healthからの報告により、その数字は合計約2,000万人にまで押し上げられました。

White paper

実用的なsbomカバージャパン

サプライチェーンのセキュリティは最も弱いリンクと同じ

EUの一般データ保護規則(GDPR)の1周年に関する一連の論評で多くの専門家が指摘したように、米国では2003年から医療データのセキュリティを規定するGDPRと同様の法律、医療保険の携行性と責任に関する法律(HIPAA)が定められていたにもかかわらず、このような事態が起きました。

このことは、データ保護法を整備することはできても、なお事件が発生することを示唆しています。

セキュリティブロガーのBrian Krebs氏は、ブログ記事の中で、他にもこのリストに追加される企業が出てくる可能性が高いという意見を述べています。Krebs氏は、「AMCAは、臨床検査室や病院、ダイレクトマーケター、通信会社、州や地方の運輸/通行料徴収機関など、幅広い企業を代行して積極的に債務回収サービスを行ってきた歴史で知られるニューヨークの企業です」と説明しています

AMCAに対する侵害は8か月かけて準備された

攻撃者はAMCA(およびその顧客)のデータを収集して精査するために8か月もの時間をかけたようです。

SECへの提出書類によれば、AMCAは2018年8月1日から2019年3月30日まで漏洩が続いたと報告しています。また、漏洩した情報には、氏名、生年月日、住所、電話番号、サービス提供日、プロバイダー、残高情報が含まれている可能性があるとしています。報告によれば、医療情報は含まれていたものの、検査結果は含まれていませんでした。

AMCAから漏洩の通知を受けてから3日後の6月3日にプレスリリースを発表したQuestは、AMCAへの接続は実際には別のベンダー、Optum 360を通じて行われているとしています。プレスリリースでは、「AMCAは、影響を受けた可能性のある個人とその情報内容など、AMCAのデータ・セキュリティ・インシデントに関する詳細あるいは完全な情報をQuestまたはOptum360にまだ提供していません。また、QuestはAMCAから受け取った情報の正確性を確認することができませんでした。」と発表しました。

Krebs氏によると、AMCAからは質問に対する回答がないまま、Questは外部のPR会社を通じて声明を発表し、セキュリティコンプライアンス会社から侵害の可能性を通知された後、「内部レビューを実施し、Web支払いページを取り下げた」と説明しています。

「当社は、当社のシステムの潜在的なセキュリティ侵害を調査するためにサードパーティーのフォレンジック企業を雇い、Web支払いポータルサービスをサードパーティー・ベンダーに移行し、当社のシステムのセキュリティを強化するための手順について助言・実施するためのエキスパートを増員しました。また、このインシデントを法執行機関に報告しました。」

QuestはAMCAへの代金回収依頼を停止したとしていますが、泥棒が1,170万頭もの馬を盗んで逃げた後で家畜小屋のドアを閉めるといった後手の感があります。

amca違反4

ありがちな結末

そして、ありがちな不吉な余波はまだ始まったばかりです。

  • Fierce Healthcareは、QuestとLabCorpに直接的な経済的影響はなかったものの、「Moody’s Investors Serviceのレポートによると、この侵害は両社の評判を危険にさらし、そのベンダーの選択・評価方法に目をつけられたという点で、両社の信用にマイナスの影響をもたらした」と報告しました。
  • 米国のロバート・メネンデス(民主党、ニュージャージー州選出)、コーリー・ブッカー(民主党、ニュージャージー州選出)、マーク・ウォーナー(民主党、バージニア州選出)の各上院議員は、Questに対し、同社のセキュリティ・プラクティス、通知手続き、ダメージ・コントロール計画に関する情報を要求する書簡を送りました。
  • また、コネチカット州とイリノイ州の司法長官は、この侵害に関する調査を発表しました
  • 先週、Bleeping Computerは、複数の州の連邦裁判所と米国広域係属訴訟の米国司法委員会(JPML:Judicial Panel on Multidistrict Litigation)がQuestに対して6月3日に11件のクラス・アクション訴訟を提起したと報告しました。以後、ニュージャージー州、ニューヨーク州、カリフォルニア州の連邦裁判所でさらに8件の訴訟が起こされました。当時、LabCorpに対して3件の訴訟が起こされ、いずれもAMCAが共通の共同被告人であるため、JPMLによって併合される可能性があるとの憶測がありました。
  • 違反に関する調査は始まったばかりですが、HIPAAおよびそれに付随するHITECH(経済的及び臨床的健全性のための医療情報技術に関する法律)に違反した場合の罰則では、過失のレベルに応じて違反または記録1件当たり100~50,000ドル、同一条項の違反に対して年間最大150万ドルの罰金が科される可能性があります。違反は刑事訴追につながることもあります。

惨事の回避

どうしたら、この一連の惨事は避けることができたでしょうか。攻撃者にエクスプロイトを許した脆弱性をAMCAが公表していないため(おそらくまだ検出されていないため)、それを確かめる方法はありませんが、AMCAの契約企業がセキュリティプラクティスの監督を積極的に行っていれば、漏洩の可能性は低減していたでしょう。

意外にも、サプライチェーンのリーダーはリスクを認識しています。しかし、その認識は明らかにセキュリティの方針に変化をもたらすような行動につながっていません。

リサーチ&アドバイザリー企業Gartnerによる5月30日付けの報告書「Get Ahead of the Expanding Risk Frontier: Supply Chain Security」によると、「サプライチェーンのリーダーたちは、サイバー攻撃のリスクを懸念事項のトップに位置付けているが、自分たちの部門とIT部門との関係を戦略的なものとみなしているリーダーは10%に過ぎない」ことがわかりました。

その支援のためのさまざまな助言やサービスがあるにもかかわらずです。

amca違反3

サプライチェーン攻撃から身を守る方法

BSIMM (Building Security In Maturity Model:セキュア開発成熟度モデル) は、他の組織が何を行い、何が効果を上げているかを示すことによって、組織のソフトウェア・セキュリティ・イニシアティブ(SSI)の向上を支援します。 サードパーティーが提供するソフトウェアに対応するBSIMMsc(旧称vBSIMM)もあります。

シノプシスの主任科学者であり、BSIMMの共同作成者であるSammy Miguesは、近日発表のホワイトペーパーで、BSIMMscは「立証と自動化を活用して、ソフトウェア・サプライチェーンのリスク管理のための基礎的なセキュリティ・コントロールとしての機能を果たすことを目指している」と述べています。

もう少し簡単に言えば、組織が「無知」なソフトウェアベンダーを回避するために役立つように設計されているということです。

米国政府説明責任局(GAO)のITおよびサイバーセキュリティ担当ディレクター、Nicholas Marinos氏は、ヘルスケア企業を含むほとんどの企業が「セキュリティサービス、IT、または業務遂行」をサードパーティーに頼らざるを得ないのが現実だと述べました。

つまり、保護対象保健情報(PHI)を扱う組織は、「サードパーティーがベストプラクティスに従って対象データを保護していることを確認する手段を設けている必要があります」とMarinos氏は指摘しています。これには、約束したセキュリティテストが実際に行われたことを確認するためのフォローアップが含まれます。

「ということは、テストが行われ、結果のフォローアップがあったことを確認するための専門知識を備えている必要があることを意味します」とMarinos氏は述べました。

ヘルスケア業界は重要インフラだと同氏は指摘します。「最終的には、情報が肝心です」と、Marinos氏は述べました。「セキュリティというとテクノロジーとシステムに重点が置かれることがありますが、あらゆる企業にとって、所有しているデータの内容、その使われ方、その行き先、および自社組織に接続しているテクノロジーの種類を把握しておくことは有益です。」

また、Gartner のレポートでは、サードパーティー・ベンダーのセキュリティを効果的に監視しようとしている組織向けの定石を提示しています。

アナリストのKatell Thielemann、Mark Atwood、Kamala Ramanの各氏からの推奨事項の一部を以下にご紹介します。

  • 自社とそのサードパーティーが所有しているもの、保護する必要があるものは何かを把握する。
  • サードパーティーのセキュリティおよびリスク管理体制を評価する。
  • 自社に適用されるすべての業界規制を把握し、サプライチェーン・リスク管理戦略に含める。

レポートでは、これらの目標やその他の目標を達成する方法について詳しく説明しています。

どの方法を用いても完璧にはなりませんが、完璧に近付くことはできます。攻撃者は狙いやすいターゲットを探すものですから、たいていはそれで十分です。

White paper

実用的なsbomカバージャパン

サプライチェーンのセキュリティは最も弱いリンクと同じ

Continue Reading

トピックを探索する