伊 ASL Napoli 3 Sud、Sabbathランサムで84万人分の医療データ侵害（Garante制裁）

発生日2022-01-07

国・地域IT イタリア

医療機関ASL Napoli 3 Sud（ナポリ県南部地域保健公社）（公立）

原因ランサムウェア / サプライチェーン / 設定ミス

アクターその他サイバー犯罪者

深刻度高

信頼度確認済み

被害データ暗号化情報漏えい恐喝・二重恐喝システム停止診療の停止・縮小

被害メモSabbath（54BB47H）による攻撃。Campania州と契約するIT委託事業者を経由して侵入したとされる。42台のサーバ上の約240の仮想マシンが被害を受け、約9割のデータを窃取され二重の身代金を要求された。給与システム等にも影響。Garanteは VPN接続での多要素認証なし・ネットワーク非分割・検知体制（24/7のログ分析）の不備を認定し、3万ユーロの制裁金を科した（決定 n.422、2023-09-28）。

漏えい件数約842,118件

被害額3万ユーロ（450万円）／GaranteによるGDPR違反の制裁金（1ユーロ≈150円・2023年で換算）。事故復旧費や被害総額ではない。

タイムライン（経緯）

公表・確認済みの日付のみ。未公表の経緯は省略している。

2022-01-07 発生
ランサムウェアによる攻撃が発生
2022-01-14 公表
Sabbathが攻撃を公表（リークサイト掲載）
2023-09-28 その他
Garanteが3万ユーロの制裁金を決定（provvedimento n.422）

攻撃の流れ（MITRE ATT&CK 戦術）

公表・確認済みの情報に基づく。未公表の段階は省略している。戦術名をクリックすると同じ戦術の事例を一覧で見られる。ATT&CKとは？

初期アクセス TA0001 州と契約するIT委託事業者を経由して内部ネットワークへ侵入

持ち出し（情報窃取） TA0010 サーバ群から約9割のデータを窃取

影響（暗号化・破壊） TA0040 42サーバ上の約240仮想マシンを暗号化し二重の身代金を要求

実施した再発防止策

公表・確認済みの対策のみ。未公表の対策は省略している。

多要素認証の導入 VPN接続にファイアウォールによる二要素（多要素）認証を導入
ネットワーク分離管理・DMZ・インフラ・サーバファーム等のVLANで分離した「Green Zone」を構築し、ファイアウォールポリシーで制御
監視強化 SIEMとMDRを備えたSOCを24時間365日体制で運用（Leonardo S.p.A.による）
職員教育・訓練セキュリティのeラーニング（FAD）と模擬フィッシング訓練を実施
体制・規程整備情報システム部門に6名（管理職4・職員1・補助1）を増員

イタリア・ナポリ県南部の地域保健公社 ASL Napoli 3 Sud は、2022年1月7日にランサムウェアグループ Sabbath（54BB47H）の攻撃を受けた。州と契約するIT委託事業者を経由して内部ネットワークへ侵入されたとされ、42台のサーバ上で稼働する約240の仮想マシンが被害を受けた。攻撃者は約9割のデータを窃取したと主張し、二重の身代金を要求。給与システムを含む業務に広く影響が及んだ。

イタリアの個人データ保護監督機関 Garante は、2023年9月28日の決定（provvedimento n.422）で、約84万2千人（患者・利用者841,965人、職員153人）の個人・健康データが侵害されたと認定した。VPN接続に多要素認証が導入されていなかったこと、重要システム間でネットワークが分割されていなかったこと、24時間体制のログ分析など検知体制が不十分だったことを指摘し、GDPR第5条・第25条・第32条違反として3万ユーロの制裁金を科した。「攻撃を受けたこと自体がGDPRの遵守義務を免じるわけではない」とする代表的な監督機関決定の一つ。

出典

Provvedimento del 28 settembre 2023 [doc. web n. 9941232]（Garante per la protezione dei dati personali）（2023-09-28）
Data breach: ASL 3 Napoli（Edoardo Limone）（2022-01-12）