Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

【米国】医療保険会社アンセムの個人情報流出事件のまとめ

※別な所にUPしていた過去記事(2015/2/7)を移転してます。

 

米国の医療保険大手「アンセム」(Anthem)が2/5にサイバー攻撃を受け顧客ら約8000万人の個人情報が流出した可能性があると発表しました。その関連情報をまとめます。

◇キタきつねの独り言
8000万件の個人情報流出となると、米国ではホームデポやJPモルガンチェースを越える大きな事件となりそうです。昨年のベネッセの事件の4858万件(*2)と比べるとその規模がわかります。

原因は洗練されたサイバー攻撃であったとしても、アンサムはセンシティブ情報を含む個人情報を”平文(暗号化せず)”で保存していたことが大きな流出要因の様です。

ハッカーの攻撃対象は去年は『流通』でしたが、よりセンシティブな個人情報を抱える『ヘルスケア』分野が攻撃を受けたのは、個人的には”やはり来たか・・・”といった感があります。

医療情報はクレジットカードやメールアドレスといった情報の様に”変更する”事ができないので、この事件によって漏れた個人情報は、他の犯罪で使われる事も含めて、後々まで尾を引いてくる気がします。日本でも対岸の火事と言えない分野ですので、この『洗練されたサイバー攻撃』がどういったものであったのか、その脆弱リスクに対してどういった対策が考えられるのか、そうした視点でこの事件をウォッチする事が、近い将来に起こりえる日本のヘルスケアへ向けた攻撃を考える上で重要だと思います。

※2/21追記 事件から1週間経過しましたが、集団訴訟の動きが活発している様です。ある記事によると10億ドル以上のコストがアンセムが払う必要があると推測されるとの事。(訴訟要素で更にUP)

※2/11追記 漏れたパスワードはMD5ハッシュの模様(*13)。恐らく逆引きで相当数が流出したと考えるべきでしょうね。

 

◆公式発表 
 http://www.anthemfacts.com/ 魚拓 

・『非常に洗練された外部からのサイバー攻撃』を受け個人情報がた。
・現在までの所、クレジットカード情報や診察情報、処置データ、治療履歴などの医療情報が流出した証拠は無い
・アンセムのITシステムが攻撃対象となり、現在または過去の顧客個人情報の、名前、生年月日、医療ID/ソーシャルセキュリティ番号、住所、メールアドレスおよび、従業員の給与情報を含む個人情報を持ち出された
・サイバーセキュリティ評価のため、Mandiantと契約しシステムを調査し、改善点を確認中

 

◆タイムライン
【アンサム発表(*1)】
・1/25~1/31頃 サイバー攻撃を認識
・2/4 サイバー攻撃により個人情報流出があった事を発表
・2/5 アンセムのWEB閲覧件数が26.5万を越える(*4)

【Krebs記事(*9)】
CSO OnlineのSteve Ragan氏が入手した信頼できるソースからのアンセムから顧客へ送付したメールによると、

・2014/10/10~2015/1/27 不明なアクセス
・1/27 不明なアクセスを検知
      ※アンサムのデータベース管理者が疑わしい動きを発見(自社発見)
・1/29 サイバー攻撃を受けたと判断、法的機関ら関係者に事件報告

 

◆被害詳細
【アンサム発表(*1)】
 ・現在または過去の顧客個人情報の、名前、生年月日、医療ID/ソーシャルセキュリティ番号、住所、メールアドレスおよび、従業員の給与情報を含む個人情報など約8000万件以上の個人情報

WSJ記事(*1)】
 ・ブラックマーケットで流出情報が売買された様子はない

 

◆発端
WSJ記事(*1)】
 ・ハッカーによる侵入が判明したのは先週
 ・捜査当局は被害規模を調査中

【Krebs記事(*12)】
 ・最初に攻撃者がアンサムのシステムに入ったのは2014/4の事件の8ヶ月前であった可能性
 (一連の攻撃に使われたと思われる、"we11point"(※)のドメインが4月に中国で登録されていた)

  ※アンサムは2014年に”Wellpoint”から社名変更しており、これと誤認させる目的と思われる。偽ドメインは英文字のLではなく数字の1を使っている

 

◆原因
【アンサム発表(*1)】
 ・洗練されたサイバー攻撃による被害

【Krebs記事(*9)】
 ・非常に高度な洗練された攻撃で、APT(Advanced Persistent Threat=標的型攻撃の一種)であった。攻撃者はデータプラットフォームについて非常に高度な知識を持ち、データベース管理者のログイン情報を活用する事に成功した。

 ※FBIがDeep Pandaについて警告を出しているが、これがどうやって攻撃者が侵入したかを知るヒントとなると思われる
  

 ・発見された疑わしいデータベースクエリーは提携会社(associate)のログイン情報を使っていたが、発見したデータベース管理者はクエリーを初期化せず、クエリーを即時に止め、情報セキュリティ部門に報告した。また別のデータベース管理者のログイン情報も流出していた事が判明した。

CSO Online記事(*14)】
 ・昨年12月からの事件とは関係なく、アンサムは5人の技術者のアカウント情報が侵害を受けた記録が確認された

【ロイター記事(*3)】
 ・捜査に詳しい筋によると中国との関係が調べられている

【Krebs記事(*12)】
 ・中国からと類推できるいくつかの証拠、we11pointドメインが事件に使われていた。

WSJ記事(*6)】
 ・盗まれたデータは暗号化されてなかった
 ・アンサムはハッカーグループは従業員のパスワードを盗みデータベースにアクセスしたと考えている

【FORTUNE記事(*5)】
 ・およそ4000万件が現在の顧客(残り4000万件が過去の顧客)

【CNN記事(*8)】
 ・アンサムの専門家や調査を担当する会社(Mandiant)、政府関係者は、ハッキングは中国からと確信している
 ・調査では中国からのIPアドレスの痕跡とその他の兆候は中国の関与を示している事が分かった
 ・法的機関のサイバー専門家は、このハッキングがロシア、欧州や西欧のハッキンググループが情報を盗みブラックマーケットで販売する様な典型的なタイプではなく、中国からの典型的なタイプ(商業、経済、国家のセキュリティ情報、それによって中国経済を助けるものを盗むのが中国ハッカーの傾向)に見えると言っている

 

◆対応
【公式発表(*1)】
 ・攻撃を発見し、セキュリティの脆弱性をつぶす努力をすると共に、FBIにコンタクトを取り調査に全面協力している。
 ・サイバーセキュリティ評価のため、Mandiantと契約しシステムを調査し、改善点を確認する。
 ・個人情報にアクセスされた顧客は今後個別に連絡をする。

Bloomberg記事(*7)】
 ・アンサムによるとFBIはFireEyeを調査のサポートの為に雇った

◆防御
【INDYSTAR記事(*4)】
 ・サイバーセキュリティ対策費用を過去4年間で2倍に増やしていた
 ・セキュリティ専門のスタッフも200人近くいる 

【HITRUSTアラート(*13)】
 ・HITRUST(The Health Information Trust Alliance)が、アンサム事件についてもれた情報にMD5ハッシュがあると発表

CSO Online記事(*14)】
 ・Anthemの採用記事などからソコソコのセキュリティ対策はとっていたと推測。(ユーザー単位での認証、役割ベースでのサポート、ディレクトリ管理、通信暗号化、監査とモニタリング)

 

◆影響

【St.Louis Business Journal記事(*15)】
 ・専門分野の弁護士の試算では、アンセムは1人100ドル~200ドル程度の費用が発生し、8000万人で80億ドル~160億ドルに達すると予想される。(最低でも1人50ドル、40億ドルとの試算)

【FORTUNE記事(*5)】
 ・既に2つの訴訟が起きており、今後集団訴訟に発展する動きがでてきている。

Bloomberg記事(*7)】
 ・盗まれた個人情報は誕生日やメールアドレスを含んでおり今後ハッカーによるphishing攻撃が発生する恐れがある

【Krebs記事(*10)】
 ・Anthem顧客に向け、事件に関連したクレジットカード監視のフィッシングが発見された。問い合わせ電話番号もAnthemの番号に似せていたり、フィッシングサイトのWEBページも似せており、これはAnthemがデータ流出があった顧客に『連絡する』と発表した事を受けての攻撃であり、注意が必要。(フィッシングWEBに記載がある電話番号やメールアドレスに反応してはいけない)

 

◆関連事故情報(ヘルスケア分野)
【INDYSTAR記事(*4)】
 ・2014年8月にはCommunity Health Systems(テネシーの病院チェーン)が中国ハッカーにより医療用ではない患者データを450万件流出。
 ・2010年にアンサムに2004年に買収された、Wellpointがクレジットカード情報と医療情報を50万件盗まれた
 ・PriceWaterhouseCoopersの調査によると、2014年のヘルスケア業界のセキュリティ事故は60%増加

【FORTUNE記事(*5)】
 ・FBIが昨年8月に、流通と金融だけでなくヘルスケア業界に対しても今後ハッカーに狙われる可能性が高い旨の注意を行っている

【SF Gate記事(*11)】
 ・アンセムが顧客データを暗号化してなかったのは、必ずしも業界法に違反してない。Health Insurance Portability and Accountability ActやHIPAA は暗号化を推奨しているが、罰則規定は無い。この事件をきっかけにヘルスケア関連法が改正される可能性も出てきてる。

◇更新履歴

・2015/2/21 PM St.Louis Business Jounarl記事追加
・2015/2/11 AM Krebs記事、HITRUSTアラート、CSO online記事追加
・2015/2/9 PM SF Gate記事追加
・2015/2/8 AM Krebs記事追加
・2015/2/7 PM 新規作成

 

◇関連情報ソース

*15 Anthem data breach could cost company billions, St.Louise Business Journal, 2015/2/13 4:17 魚拓

*14 Anthem: How does a breach like this happen?, CSO online, 2015/2/9 4:00 魚拓

*13 C3 Alert: Anthem Cyber-Related Breach, HITRUST

*12 Anthem Breach May Have Started in April 2014, Krebs on Security ,2015/2/9 10:34 am  魚拓

*11 Anthem breach reveals gap in health privacy law, SF Gate, 2015/2/6 2:43PM 魚拓

*10 Phishers Pounce on Anthem Breach, Krebs on Security, 2015/2/7 9:56 魚拓

*9 China To Blame in Anthem Hack?, Krebs on Security, 2015/2/6 12:03 魚拓 

*8 Anthem probe looking at China as possible source of hack, CNN, 2015/2/6 6:46 魚拓 

*7 Chinese State-Sponsored Hackers Suspected in Anthem Attack, Bloomberg, 2015/2/6 4:42 魚拓 

*6 Health Insurer Anthem Didn’t Encrypt Data in Theft, The Wall Street Jornal, 2015/2/5 2:26 魚拓 

*5 Anthem’s big data breach is already sparking lawsuits, FORTUNE, 2015/2/6 1:01 魚拓 

*4 Anthem data breach could be 'lifelong battle' for customers, INDYSTAR, 2015/2/6 11:31 魚拓 

*3 米医療保険アンセムにハッカー攻撃、中国との関係を調査, 2015/2/6 12:09 魚拓 

*2 ベネッセ 個人情報漏えい事故調査委員会による調査結果のお知らせ, 2014/9/25 魚拓 

*1 米保険アンセムにハッカー攻撃、8000万人の情報流出か,The Wall Street Journal,2015/2/5 19:48 魚拓