北海道大学病院、メールアカウント不正使用で約3万件のフィッシング踏み台に

発生日2023-12-27

国・地域JP 日本

医療機関北海道大学病院（大学病院）

原因不正アクセス

アクター特定できず

深刻度低

信頼度確認済み

被害メモ職員のメールアカウントがリスト型攻撃で不正使用され、外部の約3万件のメールアドレス宛にフィッシングメールが送信された。調査の結果、当該アカウントはメール送信のみに悪用され、第三者によるメール閲覧など個人情報漏えいの可能性はないと公表。診療への影響なし。

タイムライン（経緯）

公表・確認済みの日付のみ。未公表の経緯は省略している。

2023-12-27 発生
メールアカウントが不正使用され、約3万件のフィッシングメールが外部送信される
2024-02-02 公表
病院長名で事案を公表（個人情報漏えいの可能性はなしと説明）

実施した再発防止策

公表・確認済みの対策のみ。未公表の対策は省略している。

アクセス制御の見直しアカウント・パスワード等の適切な管理について職員へ再度周知徹底を実施
監視強化アクセスログの監視等を強化し情報セキュリティ対策を強化

北海道大学病院は、2023年12月27日に職員のメールアカウントが第三者に不正使用される事案が発生したと公表した。リスト型攻撃（他所から流出した認証情報を使い回す攻撃）によりアカウントが乗っ取られたとみられ、そのアカウントから外部の約3万件のメールアドレス宛にフィッシングメールが送信された。

病院がフォレンジック調査を行った結果、当該アカウントはフィッシングメールの送信のみに悪用されており、メール本文の閲覧など第三者による個人情報の取得・漏えいの可能性はないことを確認したとしている。診療への影響もなかった。アカウント乗っ取りが「攻撃そのもの」ではなく踏み台（他者への攻撃の中継）として悪用された典型例で、患者データの被害は確認されていない。

出典

メールアカウントの不正使用によるフィッシングメールの送信について（北海道大学病院）（2024-02-02）