2018年SingHealthデータ侵害

2018年のシンガポール医療保険データ侵害は、正体不明の国家主体が仕掛けたデータ侵害事件で、2018年6月27日から7月4日の間に発生した。この期間中、シンガポール医療保険の患者150万人分の個人情報と、16万人分の外来処方薬の記録が盗まれた。 2015年5月1日から2018年7月4日までの間に専門外来診療所や総合診療所を受診した患者の氏名、国民登録身分証明書（NRIC）番号、住所、生年月日、人種、性別が悪意を持ってアクセスされ、コピーされた。患者の診断、検査結果、医師の診断書に関する情報は影響を受けなかった。^{[1] [2]特に}リー・シェンロン首相に関する情報が標的となった。^[3]

公営医療ITプロバイダーである統合医療情報システム（IHIS）のデータベース管理者は、7月4日にシンガポール医療保健省のITデータベースの1つで異常な活動を検知し、さらなる侵入に対する予防措置を実施した。ネットワークトラフィックの監視が強化され、7月4日以降も悪意のある活動が検知されたが、データの盗難には至らなかった。^[4]管理者はサイバー攻撃があったことを確認して関係省庁に通知し、 7月10日にサイバーセキュリティ機関（CSA）を招集してフォレンジック調査を実施した。機関は、犯人がフロントエンドワークステーションに侵入してITネットワークへの特権アクセスを取得し、デジタルフットプリントを隠しながらデータベースにアクセスするためのログイン認証情報を入手したと判定した。^{[4]この攻撃は、7月20日に}通信情報省と保健省が発表した声明で公表された。^{[3] [5]}攻撃の発見から公表までの10日間の遅延は、ITシステムの強化、予備調査の実施、影響を受けた患者の特定、そして公表の準備に要した時間によるものとされた。^[6]その後、データが影響を受けた患者にはテキストメッセージが送信された。^[4]

2018年8月6日、元通信情報大臣のS・イスワラン氏は議会で、この攻撃は、シンガポール医療保険（SingHealth）のウイルス対策およびセキュリティツールを回避するためにカスタマイズされたマルウェアを作成した、高度な国家関連アクターによるものだと述べた。イスワラン氏は国家安全保障の観点から、特定の国家名を挙げなかった。^[7]

2018年7月24日、攻撃の原因を調査し、同様の攻撃を防ぐための対策を特定する調査委員会が招集された。4人で構成される委員会は、元地方判事リチャード・マグナス氏が委員長を務め、サイバーセキュリティ企業、医療技術企業、全国労働組合会議のリーダーがそれぞれ所属している。^[8]委員会は検事総長室に証拠の提出を要請し、検事総長室はサイバーセキュリティ庁を任命し、刑事捜査局の支援を受けた。委員会は8月28日から非公開および公開の聴聞会を開催し、^[9] 9月21日から10月5日までの間に別の一連の聴聞会を開催した。^{[10] [11] [12]}さらに、個人情報保護委員会は、個人情報保護法のデータ保護に関する違反の可能性を調査し、可能な措置を決定した。^[13]

調査委員会の公聴会は2018年9月21日に始まった。最初の公聴会で、クウェック・ミーン・ラック法務長官は、職員の一連のミスとシステムの欠陥が侵害の一因となったと述べた。言及されたいくつかの例には、1999年から導入されていたEMRシステムがある。さらに、この事件の背後にいるサイバー攻撃者は、ハッキングツールを使用して2017年8月には早くもワークステーションを感染させ始めていたことが言及された。使用されていたMicrosoft Outlookのバージョンには、そのハッキングツールによる攻撃を防ぐパッチがなかった。2017年12月から2018年5月の間に、サイバー攻撃者は横移動してワークステーションにアクセスし、他のコンピュータにマルウェアを感染させた。特定されたその他の不備には、存在しないアカウントやシステムであまり権限のないアカウントで行われたシステムへのログインの複数回の失敗を特定できなかったことが含まれる。最終的に、サイバー攻撃者は6月26日にコーディング上の脆弱性を利用して侵入に成功し、7月4日に管理者によって停止されるまでSQLクエリを送信し続けました。さらに、職員が対応しなかった時期や、サイバー攻撃の認知から数日後に対応した時期が3回ありました。同日、2人の職員は、サイバー攻撃を報告するための枠組みは整備されているものの、対応方法に関する訓練が不十分であるため、職員がどのような行動を取るべきかが明確でないと述べました。^{[14] [15] [16]}

9月24日の次の公聴会では、リー・シェンロン首相の個人データと外来診療記録に加え、名前が明らかにされていない他の2名の人物が、NRIC番号を使ってサーバーに侵入したハッカーによって検索されたことが明らかになった。残りの照会は主に患者の人口統計データに対して行われ、その中にはシンガポール総合病院からの最初の2万件の患者データを含むものもあった。異常な活動を検知した主任分析官補佐は、自身の担当範囲外であったにもかかわらず、さらに調査を進め、照会内容を解釈できる職員を見つけるために各部署に警告を送った。分析官の上司は、分析官に対し、状況の監視を継続するよう指示し、漏洩があったと知らされるまで医療データは存在しないと想定していたと述べた。分析官は報告担当者に対し、自ら照会を報告する意味はないと伝え、分析官に照会のフォローアップを依頼した。報告手順と封じ込め措置の詳細についても言及された。^{[17] [18]}

3日目、事件発生時に休暇中だったIHiSのサイバーセキュリティ担当者は、メールを読んだ後、調査のためにワークステーションからデータを収集していたと思われたため、フォローアップをしなかった。さらに、IHiSではフォレンジック調査に使用されたコンピュータが1台のみだったため、問題の診断が遅れた。^[19]このことは裁判の4日目で確認され、判断力と組織プロセスの欠陥が露呈した。例えば、セキュリティ管理部門との会議は定期的に行われておらず、サイバーセキュリティリスクへの適切な対応を規定したり、スタッフが休暇を取った場合に代わりの担当者を任命したりするための枠組みが構築されていなかった。プロセスについては明確化が行われ、インシデントをエスカレーションするための標準的な運用手順が2018年3月に経営陣によって承認されていた。また、同日、IHiSの従業員が同僚にデータが盗難されていないと誤って伝えたため、スタッフがデータ侵害を確認するのに7月4日からさらに6日かかったことも明らかになった。上司がさらに調査を行い、データが盗難されたことが判明した後に、データが盗難されたことが確認された。クエリは後に再作成されました。^{[20] [21] [22]}

5日目には、ハッカーに悪用されたサーバーが2017年5月以来1年以上セキュリティアップデートを受け取っていなかったことも明らかになった。これは、通常は月に数回パッチが適用される期間である。その上、コンピューターのウイルス対策ソフトウェアが古すぎたため、再インストールする必要があった。マネージャーは書類上はサーバーの管理を担当していなかったが、サーバーがシンガポール国立がんセンターに設置されていたため、スタッフが助けが必要な場合に連絡しやすく、実際には2014年にその役割を任されていた。担当者が辞職すると、IHiSにはサーバーの管理を引き継ぐ者がいなかった。また、IHiSの所長は、サーバーが実際には会社によって管理されていないことを認識しておらず、2014年にIHiSは研究用サーバーを管理しないという指示しか与えていなかった。^{[23] [24]}翌日、塞がれていなかったセキュリティ上の抜け穴が精査された。この抜け穴はIHiSの従業員によって指摘されていたにもかかわらず、何の措置も取られませんでした。それどころか、この従業員は欠陥の詳細をライバル会社に送った後、解雇されました。^{[25] [26] [27]}

10月5日に行われた第2回目の公聴会の終盤で、7月19日に別のサーバーを経由してサーバーへの2度目のハッキングが行われたことが明らかになりました。このハッキングは開始直後に阻止されました。さらに、使用されたマルウェアはシステムに合わせてカスタマイズされており、主要なウイルス対策ソフトウェアによる検出を回避していました。このプロセスではPowerShellと呼ばれるツールが使用されていましたが、7月13日に無効化されました。一方、IHiSはパスワードの変更、侵入されたアカウントの削除、サーバーの再起動など、セキュリティ対策を強化しました。^{[28] [29]}

3回目の聴聞会は10月31日に開始された。管理者は、業務量の増加とボトルネックの発生につながるため、インシデントの報告に消極的であったという証拠が示された。一方、最高情報責任者（CIO）は、ボトルネックは許容できないとして、チームにインシデントのエスカレーションを指示した。さらに、IHiS職員がSingHealth関連のサイバーセキュリティインシデントを発見した場合の報告方法に関する文書化されたプロトコルは存在しないと付け加えた。別の関係者は、重要情報インフラ（CII）運用者には年次サイバーセキュリティ演習が義務付けられており、職員は高度な持続的脅威（APT）を識別できるはずだと指摘した。しかし、これらの演習は教室で実施されたものであり、SingHealthのケースには必ずしも適用できない可能性があり、状況認識がなければ演習の目的が達成されない。また、2018年までに医療分野で安全なインターネット閲覧を実現する計画もあったが、技術的な問題により1年延期された。^{[30] [31] [32]}

翌日、シンガポール総合病院とクラウドベースのシステム間のネットワーク接続にシステム的な脆弱性が見つかった2016年の監査が取り上げられ、IHiSが管理するシステムのさらなる不備が明らかになりました。運用チームは、これらの脆弱性の修正作業が完了したことを誰も確認することなく、このインシデントを経営陣に「プラグイン」したと報告しました。サイバーセキュリティ庁も調査で同様の脆弱性を発見しました。そのため、運用チーム、技術チーム、内部監査チームによるコンプライアンスチェックを実施する「3つの防御線」が構築され、攻撃の早期検知を確実にするためにIHiSのトレーニングが強化されます。^[33]翌日には、たとえ脆弱性が発見されたとしても、公立医療機関は24時間体制で稼働しているためダウンタイムがほとんどないため、予想よりも迅速に修正されない可能性があると指摘されています。^[34]

公聴会の後半で、シングヘルスの幹部は、全従業員のサイバーセキュリティ意識を高めるとともに、患者データを厳格に収集するための新システムを導入すると述べた。このシステムにより、患者は窓口での手続きだけでなく、個人情報の更新も可能になる。最新のサイバー脅威に関する最新情報を従業員に伝えるため、タウンホールミーティングをさらに開催する。ログインメッセージも強化し、データ保護の重要性を改めて強調する。これらの概念を説明するために、ストーリーテリング形式も活用する。^{[35] [36]}その後の公聴会では、データ侵害を模擬したサイバーセキュリティ演習の実施が求められ、これにより、専門家は同様のインシデントが再発した場合の対応をより深く理解できるようになる。さらに、専門家は、非アクティブなデータも含め、システム内のすべてのデータを暗号化することを推奨した。運用上の懸念から完全な暗号化は不可能であるため、個人データは2要素認証によって匿名化され、匿名化解除される可能性がある。同公聴会では、多くの書面意見が有用であると判断されたことが改めて報告された。^[37]

最終公聴会に向けて、元国家安全保障局長は、政府と産業界のパートナーが協力し、新たな脅威について学び合い、最​​新情報を共有することを提案した。これは、現在の保護対策では、常に進化する脆弱性に対して不十分であるためである。同じ公聴会で、保健省の主任データアドバイザーは、インターネットの分離によって患者の待ち時間が長くなり、生産性が低下し、職員の疲労が増大し、特にウイルス対策ソフトウェアの更新がネットワーク内のすべてのコンピューターではなく一部のコンピューターでのみ行われる場合に、新たなサイバーリスクが生じると指摘した。したがって、ISSを継続するには、これらの要因を考慮する必要がある。^{[38] [39]}翌日、セキュリティ専門家は、報告の遅延の原因の一つであるコミュニケーションのミスを減らすため、侵入中に発生するすべてのインシデントを記録する集中型のインシデント管理・追跡システムの導入を推奨した。さらに、複数のチャットプラットフォームが使用されていたため、攻撃に関する重要な詳細が失われ、インシデントとの関連性がほとんどなかった。^[40]

最終日には、サイバーセキュリティ庁長官のデイビッド・コー氏が、医療分野のIT職員によるインシデント報告方法の変更を提案し、サイバー攻撃発生時の対応を迅速化するとともに、医療分野のITプロセスと職員研修の見直しも提案した。また、サイバーセキュリティプロセスを単なる後付けではなく、重要なものとして捉えるべきだとも示唆された。こうして公聴会は2018年11月14日に終了した。^{[41] [42] [43]}

最終報告は2018年11月30日に行われました。サイバーセキュリティ向上のための提案が共有され、組織における「侵害を想定する」というマインドセットに基づき、必要な対策を講じること、そしてそれらの対策を補完する適切な人材とプロセスを確保することなどが挙げられました。また、管理者パスワードは15文字であるべきであるにもかかわらず、ある組織では2012年から変更されていない8文字という問題のあるパスワードが使用されていたことも指摘されました。最後に、サイバー攻撃を遅らせる対策が講じられていたとしても、攻撃は高度な持続的脅威（APT）を介して行われたことに留意することが重要です。^{[44] [45]}その後、報告書は2018年12月31日にS.イスワラン氏に提出され、公開版は2019年1月10日に公開されました。^{[46] [47]}

2019年1月10日、調査委員会はシンガポール保健医療サービス（SingHealth）の侵害に関する報告書を発表しました。報告書は、職員のサイバーセキュリティ訓練が不十分であったため、攻撃を阻止できなかったと指摘しています。主要職員は圧力を恐れ、攻撃を阻止するための迅速な行動をとらなかったのです。さらに悪いことに、ネットワークとシステムの脆弱性が迅速に修正されず、攻撃者のスキルも高いことが、攻撃者にとって容易な侵入を可能にしました。報告書は、職員が適切に訓練され、脆弱性が迅速に修正されていれば、この攻撃は回避できた可能性があると指摘しています。また、この攻撃は高度な持続的脅威（APT）グループによるものであることも指摘しています。^[48]

同報告書の中で、調査委員会はサイバーセキュリティを強化するための16の勧告を、優先勧告と追加勧告に分けて示した。[ ^49]

• 優先度：
  • IHiSと公衆衛生機関による強化されたセキュリティ構造と準備態勢の採用
  • オンラインセキュリティプロセスをレビューし、サイバー攻撃に対する防御と対応能力を評価する
  • サイバー攻撃に関するスタッフの意識向上
  • 特に重要な情報インフラストラクチャ (CII) システムに対して強化されたセキュリティ チェックを実行します。
  • 特権管理者アカウントをより厳重に管理し、監視を強化する
  • インシデント対応プロセスの改善
  • より高いサイバーセキュリティを実現するために、産業界と政府間のパートナーシップを構築する
• 追加：
  • ITセキュリティリスクの評価と監査は真剣に扱われ、定期的に実施されなければならない。
  • 電子医療記録の機密性を保護するために強化された安全対策を講じる必要がある
  • 攻撃に対するドメインセキュリティの向上
  • 堅牢なパッチ管理プロセスを実装する
  • サイバーセキュリティに重点を置いたソフトウェアアップグレードポリシーを実装する
  • 外部の脅威への露出を制限するインターネット アクセス戦略を実装する
  • サイバーセキュリティインシデントにいつ、どのように対応するかに関するより明確なガイドライン
  • コンピュータセキュリティインシデント対応担当者の能力向上
  • 侵入後のネットワークの独立したフォレンジック調査を検討する

2019年1月15日、 S・イスワラン通信情報大臣は議会において、政府が報告書の勧告を受け入れ、全面的に採用すると発表した。また、CII（医療情報システム）のセキュリティ強化のため、サイバーセキュリティ法の施行を加速させた。^[50]一方、ガン・キムヨン保健大臣は、シンガポールの医療機関とIHiS（シンガポール国立大学保健システム）のガバナンスと運営を強化するための改革を発表した。保健省の最高情報セキュリティ責任者（MOH CISO）とIHiSのサイバーセキュリティガバナンス担当ディレクターの役割が分離され、MOH CISOは専用オフィスを設けて保健省事務次官に報告する一方、IHiSにはサイバーセキュリティガバナンスを担当する別のディレクターが置かれ、クラスターレベルでの変更も行われる。これにより、ITシステムの運営とガバナンスが強化される。さらに、保健省は公的医療向けに強化された「3つの防衛線」システムを構築し、国立大学保健システム向けに「仮想ブラウザ」を試験的に導入する。全ての公的医療従事者は、サイバー攻撃直後に実施されたインターネットサーフィン分離を継続し、患者の医療データを国家電子健康記録（NEHR）システムに義務的に提供することも延期される。^[51]

サイバー攻撃の後、医療ネットワークにアクセスできるすべての公共医療IT端末からインターネットアクセスが一時的に遮断され、追加のシステム監視と制御が実施されました。 ^[52]

この攻撃により、シンガポールのスマートネーション構想は2週間中断され、その間、公共部門のサイバーセキュリティ政策の見直しが行われました。この見直しの結果、追加のセキュリティ対策が実施され、公共部門の管理者は可能な限りインターネットへのアクセスを遮断し、そうでない場合は安全な情報交換ゲートウェイを使用するよう促されました。^[53]また、この攻撃は、シンガポールで進行中の電子患者データの一元化への取り組みについて、一部の医療従事者の間で新たな懸念を引き起こしました。2018年末に医療提供者が患者の診察や診断に関するデータを国家電子健康記録システム（NEHR）に提出することを義務付ける法律を可決する計画は延期されました。^[54]さらに、保健省は2018年8月6日、サイバー攻撃の影響を受けなかったNEHR（国家電子健康記録）についても、医師にすべての記録をNEHRに提出するよう求める前に、サイバーセキュリティ庁とプライスウォーターハウスクーパースからなる独立グループによるレビューを実施すると発表しました。^[55]

2018年7月24日、シンガポール金融管理局（MAS）は、漏洩したデータが顧客のなりすましに利用される可能性に備えて、シンガポールの銀行に対し、顧客確認プロセスを強化するよう指示し、追加情報の提出を求めた。また、銀行はリスク評価を実施し、情報の悪用によるリスクを軽減するよう指示されている。^{[56] [57] [58]}

IHiSはその後、データ侵害に対する公衆衛生システムの強化を図りました。すべての疑わしいITインシデントは24時間以内に報告することが義務付けられます。その他18の対策も導入されており、全管理者に対する二要素認証、積極的な脅威ハンティングとインテリジェンス、病院ネットワークへの接続は最新のセキュリティアップデートを適用したコンピュータのみに制限、新たなデータベースアクティビティ監視などが含まれます。医療システムの一部においてインターネット分離スキーム（ISS）を恒久的に維持するための調査が行われており、代替手段として仮想ブラウザが試験的に導入されています。^{[59] [60]}

報告書が発表された後、2019年1月16日、IHiSは、攻撃への対応に怠慢だったとして2人の従業員を解雇、1人を降格し、中間管理職2人とCEOのブルース・リアン氏を含む上級管理職5人に罰金を科した。3人の従業員は、職務範囲外であっても事件に熱心に対処したとしてIHiSから賞賛された。IHiSはその後、サイバーセキュリティを強化するための18の対策を迅速に進めてきた。^{[61] [62]翌日、個人情報保護委員会は、}個人情報保護法に基づき個人データの保護が不十分だったとしてIHiSに75万ドル、SingHealthに25万ドルの罰金を科した。これはデータ侵害に対する罰金としては過去最高額となった。^[63]

その後、2019年3月6日、サイバーセキュリティ企業シマンテックは、このサイバー攻撃の背後に国家支援を受けたグループ「ホワイトフライ」を特定しました。国名は明らかにされていませんが、このグループは2017年以降、シンガポールに拠点を置く組織に対する複数の関連サイバー攻撃の背後に関与していることが判明しています。^{[64] [65]}