🏥 病院サイバーインシデントDB

← 一覧へ戻る

シンガポール SingHealth、国家支援アクターが患者150万人分の情報を窃取

発生日2018-06-27
国・地域SG シンガポール
医療機関SingHealth(シンガポール最大の公的医療グループ)(公立)
原因不正アクセス
アクター国家支援アクター
深刻度
信頼度確認済み
被害 情報漏えい
被害メモ患者150万人分の個人情報(氏名・NRIC番号・住所・生年月日等)と16万人分の処方記録を窃取。首相 Lee Hsien Loong が標的に。国家支援アクター(Whitefly)の関与。公式COI報告書あり。
漏えい件数約1,500,000件

タイムライン(経緯)

公表・確認済みの日付のみ。未公表の経緯は省略している。

  1. 発生
    患者データの窃取が始まる(〜7月4日)
  2. 初動対応
    異常を検知し不正アクセスを遮断
  3. 公表
    サイバー攻撃と150万人の情報窃取を公表
  4. 調査・報告
    調査委員会(COI)が公開報告書を提出

攻撃の流れ(MITRE ATT&CK 戦術)

公表・確認済みの情報に基づく。未公表の段階は省略している。戦術名をクリックすると同じ戦術の事例を一覧で見られる。ATT&CKとは?

  1. 初期アクセス TA0001 フロントエンド端末がカスタムマルウェアに感染(2017年8月頃)
  2. 横展開 TA0008 内部ネットワークを横展開
  3. 認証情報アクセス TA0006 特権アカウントの認証情報を取得
  4. 持ち出し(情報窃取) TA0010 SCMデータベースから患者150万人分を窃取(2018年6〜7月)

実施した再発防止策

公表・確認済みの対策のみ。未公表の対策は省略している。

シンガポール最大の公的医療グループ SingHealth は2018年、国家支援とみられるアクターによるサイバー攻撃を受け、患者150万人分の個人情報と16万人分の処方薬記録が窃取された。窃取された情報は、2015年5月1日から2018年7月4日までに専門外来・ポリクリニックを受診した患者の氏名・NRIC(国民登録番号)・住所・生年月日・人種・性別などで、特にリー・シェンロン首相の情報が狙い撃ちされた。

公式の調査委員会(Committee of Inquiry:COI)報告書によれば、攻撃者はフロントエンド端末をカスタムマルウェアに感染させて侵入し、内部を横展開して特権認証情報を取得、SCM(外来診療管理)データベースから2018年6月27日〜7月4日にかけてデータを窃取した。7月4日に異常が検知され不正アクセスは遮断、7月20日に公表された。情報通信相は高度な国家関与アクターによるものと議会で説明し、後にセキュリティ企業 Symantec が「Whitefly」と呼ばれる国家支援グループの関与を指摘した。シンガポール史上最大の個人情報流出として知られる。

出典