piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

埼玉県健康づくり事業団のランサムウエア感染についてまとめてみた

2024年1月31日、埼玉県内で健康診断業務などを行っている埼玉県健康づくり事業団は、事業団が使用するX線画像読影システムに対してランサムウエアを用いた不正アクセスが行われたと公表しました。さらに複数の委託元も同事案に関連した公表を行っています。ここでは関連する情報をまとめます。

健康診断業務を行う組織でランサムウエア被害

  • 不正アクセスを受けたのは埼玉県健康づくり事業団のX線画像読影システムで2024年1月29日朝に、システムへログインができない事象が発生。システム業者に問い合わせを行ったところ、システムがランサムウエアに感染しており、身代金要求のテキストも存在していることが判明した。被害にあったのはシステムに関係するサーバー8台及び端末2台。感染したランサムウエアは事業団から公表は行われていないものの、Lockbit 3.0だったと報じられている。*1
  • 不正アクセスはインターネットに接続されたVPNを介して行われていたことがその後の調査を通じて明らかになっている。まず事前に偵察活動が行われたのち、次の日にサイバー攻撃が行われた。さらにRDPを使用されていたことからシステム上で保管をしていたデータの流出については痕跡は確認されない一方で流出(窃取)の有無について完全に断定することはできないとの結論を事業団は示している。
  • 事業団は埼玉県内の地方公共団体や学校、企業、住民を対象に、年間で約40万人に健康診断を行っていた。システムには健康診断を受けた人のX線画像や氏名など付帯する情報が保存されていたが、外部に流出したかどうかについては公表時点で判明しておらず、影響を受けた件数についても調査が行われている。*2 なお、システム上のデータの多くは診断報告書の作成作業が完了しており、加えてX線画像などの撮影データも検診車に残っていることから、再度撮影の必要はないと事業団は説明している。*3
被害対象項目 流出可能性のある情報
X線画像 胸部、胃部、乳部の画像
超音波画像 腹部、乳部の画像
画像付帯情報 氏名、年齢、生年月日、性別、検査日、ID、撮影番号
モアレ検査画像 画像に付帯する情報は学校名、撮影番号
  • 被害にあったシステムはネットワークから遮断された状況にあり、バックアップデータの移行完了後に廃棄を行い再利用は行われない方針。セキュリティを強化した新システムについては2024年12月までに構築を完了する予定。事業団は復旧までの間はシステムを使用せずに画像の読影作業(手書きでの画像診断の所見記入など)を進めており、画像データの持ち運びには専用のUSBメモリを使用する。また所見の記入内容は結果処理システムに手動で入力作業が進められる。閑散期でもあるため健康診断業務などは(2月1日時点では)通常通り行われている*4ことが当時報じられていたが、予定通り期間内で検診結果を提出するために、事業団はX線画像の読影をする医師の来所頻度を増やすことで対応にあたっている。

県内複数の委託元組織に影響

健康診断業務の委託元として、この事案の影響を受けたと公表を行っている地方公共団体などは以下の通り。

地方公共団体 対象の診断業務
埼玉県(第2報) (第3報) 南部保健所、朝霞保健所、春日部保健所、草加保健所、鴻巣保健所、加須保健所において平成29年度から令和5年度に行われた結核の接触者健診及び管理検診
伊奈町 胃がん検診、肺がん・結核検診、乳がん検診
小鹿野町 胃がん検診(バリウム検査)、乳がん検診
越生町 胃がん検診(バリウム検査)、乳がん検診
小川町 胃がん検診、肺がん検診、乳がん検診
桶川市 胃がん検診、肺がん検診、乳がん検診
神川町 結核・肺がん検診、胃がん検診(バリウム検査)、乳がん検診
上里町 胃がん検診、肺がん検診、乳がん検診
春日部市 集団乳がん検診
川越市(第2報) (第3報) 公民館等を巡回する検診バスで実施する胃がん検診、肺がん検診、乳がん検診
川口市 市内社会福祉施設等にて検診車で実施する胸部レントゲン検診
行田市 がん検診(詳細記載なし)
加須市(第2報) 脊柱側わん症検診(モアレ検査)
北本市 平成29年度小学5年生及び中学1年生対象のモアレ検査(撮影画像、学校名、撮影番号)
鴻巣市(第2報) (第3報) (
鴻巣市教育委員会
胃がん検診、肺がん・結核検診、乳がん検診、小学生対象の脊柱側弯検査(モアレ検査)、教職員定期健康診断
久喜市 集団がん検診
越谷市(第2報) 乳がん検診(集団検診・個別検診)と肺がん・結核検診(集団検診)
坂戸市 胃がん検診(バリウム検査)、肺がん検診、乳がん検診
幸手市(第2報) 肺がん検診、胃がん検診、乳がん検診
草加市(第2報) 胃がん(バリウム)検診、乳がん検診
秩父市 胃がん検診、乳がん検診
鶴ヶ島市 胃がん検診、肺がん検診、乳がん検診
長瀞町(第2報) 胃がん検診、大腸がん検診、乳がん検診、子宮頸がん検診
所沢市 (第2報) 所沢市立きぼうの園及び所沢市立キャンバスにおいて利用者に実施する健康診断
滑川町 集団婦人がん検診、骨密度検査
新座市 教職員対象の胃部x線検査、小中学生対象の脊柱側弯検査(モアレ検査)
飯能市 胃がん検診(バリウム検査)、肺がん検診、乳がん検診
東松山市 胃がん検診、乳がん検診
日高市(第2報) 胃がん検診(バリウム検査)、肺がん検診、乳がん検診
富士見市 胃がん検診
ふじみ野市 胃がん検診、乳がん検診
本庄市 胃がん検診(バリウム検査)、セルディ会場で実施した肺がん検診・乳がん検診
美里町 胃がん検診、肺がん検診、乳がん検診
三芳町 胃がん検診、乳がん検診
八潮市 胃がん検診(バリウム検査)、肺がん検診、乳がん検診
横瀬町(第2報) 胃がん検診、乳がん検診
吉川市 胃がん検診(バリウム検査)、肺がん検診、乳がん検診
和光市 モアレ検査画像と画像に付帯する情報(学校名、撮影番号)
  • 続報掲載が同一ページでない場合に第2報と記載。また一部の地方公共団体は第2報を確認できず。

地方公共団体以外で影響を受けたと公表を行っている事業者等は以下の通り。

組織 対象の診断業務・流出情報
パーソルホールディングス X線画像(胸部、胃部、乳部)及び超音波画像(腹部、乳部)と画像に付帯する情報(氏名、年齢、生年月日、性別、検査日、ID、撮影番号、問診、過去の所見と判定、今回の所見と判定)、モアレ検査画像(画像に付帯する情報は学校名、撮影番号)
ディーアイエスサービス&ソリューションズ X線画像(胸部、胃部、乳部)及び超音波画像(腹部、乳部)と画像に付帯する情報(氏名、年齢、生年月日、性別、検査日、 ID、撮影番号、問診、過去の所見と判定、今回の所見と判定)
労働者健康安全機構 労働安全衛生総合研究所労働者放射線障害防止研究センター 研究参加者のうち、当該健診機関で検診受診
結核予防会 総合健診推進センター ネットワーク健診
あさか向陽園 施設利用者及び職員健康診断業務

関連タイムライン

日時 出来事
2024年1月27日 16時24分 何者かがVPNを介してX線画像読影システムに接続し偵察活動を遂行。
2024年1月28日 18時36分 何者かが再度システムに侵入。
同日 18時41分 何者かが探索活動を行ったのちに防御回避等を行い、サイバー攻撃(ランサムウエアの展開とみられる)を実施。
2024年1月29日 事業団が不正アクセス事案の発生を把握。
2024年1月31日 事業団がX線画像読影システムに対する不正アクセス被害を公表。その後委託元の地方公共団体等の公表も相次ぐ。
2024年2月3日 埼玉県警、システム開発会社の立ち合いの元、専門調査会社によるフォレンジック調査を開始。
2024年3月21日 調査会社より事業団に対してフォレンジックの調査結果が提出。
2024年3月28日 事業団が調査結果を受けて不正アクセス被害に関する続報を公表。

更新履歴

  • 2024年2月8日 AM 新規作成
  • 2024年4月2日 AM 続報反映(事業団の第2報等)
  • 2024年5月9日 PM 影響を受けた事業者等追記
  • 2024年5月16日 PM 影響を受けた事業者等追記