米国退役軍人省が不正アクセスによる個人情報漏えいを公表

第116号　2020.9.29公開

VAによると、傘下の金融サービスセンター（FSC)が所管する医療費関連オンラインアプリケーションに不正アクセスがあり、地域医療機関向けの退役軍人医療費支払分が転用されたことが確認されました。FSCは、アプリケーションをオフラインにして、VAのプライバシー室にインシデントを報告しています。

プライバシー室の初期調査によると、ソーシャルエンジニアリング技術により認証プロトコルを悪用した不正アクセスがあり、金融情報の変更や、VAからの支払の転用が判明しました。VAは、将来の不適切なアクセスや情報の修正を防止するため、情報技術室による包括的な調査が完了するまでの間、システムへのアクセスを再開しないとしています。漏えいした個人情報やシステムに関する詳細やHIPAA規則との関連性については、9月14日時点で公表していません。

FSCは、退役軍人を保護するため、個人情報が漏えいした退役軍人に対し、書面で具体的な対策を通知すると同時に、近親者など、影響を受ける可能性がある個人に注意喚起を行いました。加えて、社会保障番号が漏えいした可能性がある人向けに、クレジットモニタリングサービスへの無料アクセス提供を開始したとしています。

なお、VAの情報セキュリティ管理に関連して、米国会計検査院（GAO）が、2019年11月14日、「情報セキュリティ：VAおよびその他の連邦政府機関は重要課題に取組む必要がある」と題する報告書を公表し、以下のような課題点を指摘しています。

• 情報セキュリティの制御を展開することによって、機微情報を効果的に保護する
• 既知の脆弱性に取り組む
• 重要なサイバーセキュリティ要員へのニーズを正確に特定する
• ITサプライチェーンにおけるリスクを管理する
  

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・医療費の請求・支払業務に関わる医療機関や医療保険者の職員は、人間の心理的な隙や行動のミスにつけ込むソーシャルエンジニアリングの標的になりやすい。技術的対策によりリスクを完全に低減することは不可能なので、ユーザーの意識向上に向けたトレーニングなどを継続的に行うとともに、インシデント対応に係るポリシーや手順について、ソーシャルエンジニアリングを想定したものに改善する必要がある。
 

医療機器メーカー／医療品メーカー

・医療機関と直接やりとりする機会の多いメーカーの営業担当者や経理担当者は、個人の名前やアカウントが、客先を標的にしたソーシャルエンジニアリングに悪用される可能性があるので、日頃から不審なメール、テキストメッセンジャーなどに注意を払うとともに、緊急時対応についてあらかじめ準備しておく必要がある。

サプライヤー

・医療費の請求・支払業務関連システムの開発・運用を担うプロバイダーは、何も信頼しない「ゼロトラスト」の考え方に立脚して、従来のセキュリティ対策の枠を越えたソーシャルエンジニアリング対策手法を検討しておく必要がある。

関連記事 [外部サイト]

• The U.S. Department of Veterans Affairs (VA) 「VA notifies Veterans of compromised personal information」（2020年9月14日）
  
• US Government Accountability Office「INFORMATION SECURITY: VA and Other Federal Agencies Need to Address Significant Challenges」（2019年11月14日）
  

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。（不定期刊行）

＞＞過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<