シンガポールの都市国家であるシンガポール医療グループからハッカーがシンガポール首相の記録を含む150万件の患者記録を盗んだ事件は、IT部門がそれほど役に立たなかったらおそらく阻止できただろうと調査で分かった。
7月、国民は、不正者が医療機関のデータベースから大量の個人情報を抜き取ったと通知された。その情報には、リー・シェンロン首相の記録や、島の人口の約4分の1の記録が含まれていた。
調査委員会は木曜日にハッキングに関する報告書を発表し、攻撃者(あるいは攻撃者ら)がデータを持ち去る前に阻止されるべきだった可能性が高いと述べた。
マリオット:朗報です。ハッカーが盗んだのは3億8300万件の予約記録と、暗号化されていないパスポート番号530万件だけでした。
続きを読む
報告書は、首相が主な標的であったため、「広範な指揮統制ネットワーク、多数のカスタマイズされたツールを開発する能力、そして幅広い技術的専門知識を備えた」「十分な資金を持つ」グループが関与していたと示唆した。
「我々のサイバー防衛が絶対的に堅固になることはなく、APT(高度で持続的な脅威)によるネットワーク境界の侵害を防ぐのは難しいかもしれないが、攻撃者がデータを入手し持ち出すことに成功することは必然ではなかった」と報告書は述べている。
特に、ハッカーは、管理者アカウントに対して二要素認証が有効になっているはずの、セキュリティが不十分な Citrix サーバーを悪用しました。しかし、IT 機器はそのようなセキュリティ対策が施されていませんでした。
Citrix サーバーと Sunrise Clinical Manager (SCM) ソフトウェアへのインターネット接続は、必要性というよりは利便性を重視していたため、リスクが高まったと報告書は付け加えている。「管理ツールとカスタム アプリケーションの使用のためにネットワーク接続は維持されていたが、そうする必要はなかった。」
さらに悪いことに、患者記録データベースを運営する会社は、侵入テスト監査の結果、脆弱性について警告を受けていた。報告書によると、Integrated Health Information Systems(IHiS)は2017年に、脆弱な管理者パスワードや不十分なネットワーク分離など、セキュリティホールの存在を指摘されていた。
「残念ながら、IHiSが実施した修復プロセスは不適切に管理され、不十分だったため、サイバー攻撃時点で多くの脆弱性が残っていた」と報告書は述べている。
攻撃のタイムラインを見ると、IHiS がネットワーク セキュリティ侵害の報告を遅らせていたことも明らかになった。
- おそらくフィッシング攻撃を通じて、攻撃者は2017年8月に初めてフロントエンドワークステーションにアクセスし、2018年6月までにSCMデータベース接続を使用してCitrixサーバーにアクセスし、「多数」のユーザーアカウントと管理者アカウントを侵害しました。
- 2018年5月から、攻撃者はデータベースへのログインを試みましたが失敗しました。
- 管理者は2018年6月11日に悪意のある接続を発見し始め、6月12日、13日、26日にもさらなる試みを確認しましたが、攻撃者は6月27日にデータベースにログインし、データの窃取を開始することができました。
- 1 週間後の 7 月 4 日、IHiS 管理者はデータベースに対する疑わしいクエリを特定し、攻撃をブロックしました。
この問題は、2018年7月10日までシンガポールのサイバーセキュリティ庁、シンガポール医療保険の上級管理職、保健省、保健省ホールディングスに報告されず、サイバー攻撃が公表されたのは7月20日になってからだった。
報告書はIHiSのスタッフの訓練を批判し、攻撃に対応するための「認識、訓練、リソース」が不足しており、その結果、データの流出を防ぐ機会を逃したと述べている。
レポートの推奨事項には、セキュリティ構造の強化、エンドポイント セキュリティとフォレンジック機能の向上、スタッフの意識向上、セキュリティ テストの強化 (定期的なレッド チーム演習を含む)、管理アカウントの厳格な管理、インシデント対応計画の改善などが含まれています。®
