piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

東京都保健医療公社 多摩北部医療センターの不正アクセスについてまとめてみた

2019年5月20日、東京都保健医療公社は多摩北部医療センターの職員端末が不正アクセスを受け、端末内の情報が流出した可能性があると発表しました。また職員関係者に対してスパムメールが送出される事案がその後発生し、これは端末内に保存された情報が流用されたとみられます。ここでは関連する情報をまとめます。

公式発表

インシデントタイムライン
日時 出来事
2019年5月15日 17時56分 多摩北部医療センターメールサーバーに不審メールが届く
多摩北部医療センター職員端末やメールアカウントで不正アクセス発生
2019年5月16日 9時頃 公社、都庁の複数職員にスパムメールが届く
同日 9時半頃 多摩北部医療センター職員の端末をネットワークから遮断
同日 12時45分頃 多摩北部医療センター院内LANの影響調査開始
同日 14時半頃 警視庁へ通報
同日 16時半頃 警視庁職員や都職員(セキュリティ担当)が公社事務局を訪問。状況確認を実施。
同日 21時1分頃 東京都より送信元のIPアドレスの情報提供。公社メールサーバーで遮断。
5月17日 侵害されたアカウントの被害件数を確認。
5月18日 5時20分頃まで 流出の可能性があるメールアドレス宛に連絡。
不正アクセスによる被害
  • 多摩北部医療センター職員(医師)1名の端末、メールアカウントが不正アクセスを受けた。
  • 流出可能性があるメールボックスの状況は以下の通り。
① 侵害アカウントのメール保管件数 8,335件
② ①に含まれるアドレス件数 1,533件
③ ①に含まれる患者情報等の個人情報のメール件数 24件
④ ③に含まれる個人情報の件数 3,671人(本文15人、添付ファイル3,656人)
  • 5月20日の段階では④の情報流出の事実は確認されていない。
  • ②の内、メールアドレス以外の個人情報流出の可能性ある人へは電話、郵便で連絡中。
  • 職員端末から接続できたサーバーの情報も流出した可能性がある。
  • 流出した情報を用いたとみられるスパムメールが発生している。
都庁メールサーバー宛 4件
公社メールサーバー宛 3件
その他やり取りのあったアドレス宛 3件
  • 差出人名は職員の名前が使われている。
  • 実際には職員のアドレスからは送出されていない。
  • メール本文は英文でマルウェアに感染するとみられる添付ファイル付き。
不正アクセスの原因
  • 原因調査中。(2019年5月20日発表時点)
  • 職員へ届いた不審メールに起因するものとみられる。*1
その他
  • 関係は不明だが、不正アクセス発生事後の全台スキャンにより別端末の被害が確認された。
マルウェア感染 8台
マルウェア感染の疑い 10台

mail.tokyo-hmt.jpに接続試行するEmotet

any.run
f:id:piyokango:20190521055636p:plain

  • Any.Runでmail.tokyo-hmt.jpに接続を試みるEmotetの解析ログが残っている。
  • mail.tokyo-hmt.jpは公社のメールサーバー。
  • 解析日は2019年5月15日。
  • このEmotetと今回の事案との因果関係は不明。

更新履歴

  • 2019年5月21日 AM 新規作成