マカオ政府の新型コロナウイルス対策関連システムがDDoS攻撃により一時ダウン

第101号　2020.2.17公開

2020年1月28日、中国・マカオ特別行政区政府は、衛生局（SSM）のオンラインシステムがDDoS（分散型サービス拒否）攻撃に遭い、健康状態申告システムと住民向けマスク供給ネットワークのネットワークサービスに一時障害が発生したことを公表しました。

マカオ特別行政区では、住民および旅行者の健康状態をチェックする際に、健康状態申告システムを使用していました。また、中国全土における新型コロナウイルス感染症（COVID-19）の感染者の拡大を受けて、1月23日より、市営衛生センターと公衆衛生機関および約50の薬局が連携し、予防対策用マスクを住民に供給しており、薬局がオンラインで本人確認をする際に、マスク供給ネットワークのサービスを利用していました。

翌29日の現地報道によると、システム障害により、健康状態チェック業務やマスク供給業務が一時ストップしましたが、外部への住民データ流出は確認されなかったということです。衛生局は、司法警察当局にインシデントを報告し、調査に協力中であるとしています。

なお、マカオでは、2019年12月22日、サイバーセキュリティ法（MCSL）が施行され、医療を含む官民の重要インフラ事業者およびインターネットサービスプロバイダーに対し、以下のような要求事項が課せられています。

• 適格な責任者の選任、サイバーセキュリティ管理部門の設置、ポリシーおよび手順の策定など、サイバーセキュリティ・ガバナンスの構築
• 監督機関への通知など、セキュリティ・インシデントおよび違反行為に関するモニタリング、対応、報告
• 年次ベースのセキュリティ評価の実施と提出公的重要インフラ事業者向けサイバーセキュリティ・サービスプロバイダーのパフォーマンス・レビュー
  

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・今回のインシデントのように外部の保健行政機関が患者の本人確認機能を担っている場合、その機能に障害が発生すると、病院・診療所や薬局側の業務プロセス全体に影響が及ぶので、自組織だけでなくサプライチェーン全体の観点から、現行の事業継続管理体制を見直し、行政機関との間でサイバーセキュリティに関する情報共有体制を構築する必要がある。
 

医療機器メーカー／医療品メーカー

・今回のケースでは、サイバー攻撃の被害を直接受けていないが、逆に、医療機器・医薬品を供給するメーカー側のサプライチェーン関連システムがサイバー攻撃によってダウンすると、上流の「重要インフラ事業者」に該当する病院・診療所や薬局、保健行政機関のオペレーションに影響が及ぶ可能性がある。メーカーとしては、様々なシナリオに応じたリスク評価を行っておく必要がある。

サプライヤー

・保健行政機関向けシステムの開発・運用を受託するパートナー／サプライヤーは、アクセス制限、ネットワークトラフィック監視、ウェブアプリケーションファイアウォール（WAF）、侵入検知／侵入防止ツールなど、技術的なDDoS攻撃対策を強化するとともに、当該システムを利用してサービスを展開するステークホルダーとの間でサイバーセキュリティに関する情報共有体制を構築する必要がある。

関連記事 [外部サイト]

• 澳門特別行政区政府「衛生局強烈譴責駭客惡意攻擊電腦系統 將確保口罩質量供應如有問題可更換」（2020年1月28日）
  
• Macau News Agency (MNA)「Health Bureau claims to have been the target of a cyber-attack」（2020年1月29日）
  
• Macau News Agency (MNA)「No personal data leaked due to cyber-attack – Health Bureau」（2020年1月29日）
  
• Deloitte 「Macau Cybersecurity Law - Are you ready?」

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。（不定期刊行）

＞＞過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<