韓国ソウル大学病院、北朝鮮系アクターが83万人分の医療情報を窃取

発生日2021-05-01

国・地域KR 韓国

医療機関Seoul National University Hospital（ソウル大学病院）（大学病院）

原因不正アクセス

アクター国家支援アクター

深刻度高

信頼度確認済み

被害情報漏えい

被害メモ2021年5〜6月、複数国に置いた7台のサーバを踏み台に内部ネットワークへ侵入。患者・職員83.1万人分の個人・医療情報が露出。韓国警察は北朝鮮（Kimsuky とみられる）の関与と断定。要人の医療情報の取得が狙いとされる。

漏えい件数約831,000件

タイムライン（経緯）

公表・確認済みの日付のみ。未公表の経緯は省略している。

2021-05-01 発生
北朝鮮系アクターが内部ネットワークに侵入しデータを窃取（5〜6月）
2023-05-10 調査・報告
韓国警察が北朝鮮の関与と公表

攻撃の流れ（MITRE ATT&CK 戦術）

公表・確認済みの情報に基づく。未公表の段階は省略している。戦術名をクリックすると同じ戦術の事例を一覧で見られる。ATT&CKとは？

初期アクセス TA0001 複数国に置いた7台のサーバを踏み台に内部ネットワークへ侵入

持ち出し（情報窃取） TA0010 患者・職員83.1万人分の個人・医療情報を窃取

実施した再発防止策

公表・確認済みの対策のみ。未公表の対策は省略している。

ネットワーク分離関連システムのネットワーク分離を実施し、内部の重要サーバ・機器を外部接点から保護するようセキュリティ機器のポリシーを強化
脆弱性対応関連ウェブサイト・システムの脆弱性点検と是正を完了
EDR・端末対策情報セキュリティシステムを新規導入・拡充
体制・規程整備教育部の情報セキュリティ監査を踏まえ、セキュリティ専門人材・専門チームを新設（2022年1月までに完了）
職員教育・訓練職員向けに本事案の事例共有を行い、個人情報ファイルの管理を強化

韓国有数の大学病院であるソウル大学病院（SNUH）は、2021年5月から6月にかけて、北朝鮮の国家支援とみられるアクターによるサイバー攻撃を受けた。攻撃者は韓国を含む複数国に設置した7台のサーバを踏み台として病院の内部ネットワークに侵入し、患者・職員83万1千人分の個人・医療情報を窃取した。

2年後の2023年5月、韓国警察は本件を北朝鮮の犯行と断定し、攻撃グループ Kimsuky の関与が報じられた。警察は、攻撃者が要人の医療情報へのアクセスを狙ったと指摘している。韓国の民間インフラに対する最大級のサイバー攻撃の一つで、診療停止ではなく国家による機微な医療情報の窃取を目的とした事例。SingHealth（シンガポール）・ジヴ医療センター（イスラエル）と並ぶ国家関与型の代表例。

韓国 ソウル大学病院、北朝鮮系アクターが83万人分の医療情報を窃取

タイムライン（経緯）

攻撃の流れ（MITRE ATT&CK 戦術）

実施した再発防止策

出典

韓国ソウル大学病院、北朝鮮系アクターが83万人分の医療情報を窃取