Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

【米国】アンセム個人情報流出事件の日本への影響

※別な所にUPしていた過去記事(2015/2/12)を移転してます。

 

米国の医療保険大手「アンセム」が2/5にサイバー攻撃を受け顧客ら約8000万人の個人情報が流出した可能性があると発表しました。

この事件については個人的に興味があったので、2/7にまとめ記事 を書き始めたのですが、日本のメディアは、続報をあまり追ってません。恐らく米国ではこの事件を受けて、(原因を調査した上で)ヘルスケア関連の法律改正が行われていくと思うのですが、日本でも改正されるであろう米国の法律を参考し法律改正を検討していくことになっていく可能性が高いかと思います。

事件自体は、FBIの捜査管轄下にあるので、生々しい情報があまり出てこない時期ではありますが、対岸の火事とばかり、事件規模に比べて関心が薄いのが気になるところ。

今までに出ててきてる事件情報を元に、この事件の日本への今後の影響を推測すると、

 『サーバ管理者のフィッシング教育』

 『個人情報データの暗号化』

 『2要素認証によるネットワークログイン』

の3点が、ヘルスケア業界だけでなく、今後サイバー攻撃を受ける可能性がある企業や団体が気をつける必要があります。

 

また、日本人のデータ漏洩対象者はあまりいないはずですので、この事件での直接的な影響は無いと思いますが、”MD5ハッシュ”が8000万件流出したのは、今後別な事件に響いてくるかと思います。アラートやセキュリティ専門家のコメントにはまだ出ていませんが、アンセムがソルトをつけずに、またストレッチもせずにハッシュ保管をしていた場合は、ブラックマーケットで販売もされている逆引きテーブル(レインボーテーブル)で多くのパスワードが解読できてしまう可能性が高いかと思います。

そうでなくても、既に他サイトで漏れているハッシュ値から、容易に推測ができる可能性もありますが・・・

 

 

 

 

■HITRUST(The Health Information Trust Alliance) のアラート

Image01