患者は治療会社に信頼を寄せ、診断記録や個人情報を秘密にしていた。そして身代金要求が届いた。
ゲッティイメージズ/WIRED
ユッカ=ペッカ・プーロは2017年を決して忘れないでしょう。フィンランド南西部トゥルクの大学講師であるプーロは、離婚の悲しみに直面し、うつ病に苦しみ始めました。医師から進行性の腎臓がんを患い、余命は数年しかないと告げられた時、うつ病は自殺願望へと発展しました。彼は専門家の助けが必要だと悟りました。
プーロは、フィンランド全土で25のセラピーセンターを運営し、フィンランドの公的医療制度に心理療法サービスの下請けも行っている民間企業、ヴァスタアモに頼りました。数回のセラピーセッションを通して、彼は私生活や精神的な問題に関する個人的な詳細を打ち明け、自分が間もなく死ぬことを徐々に受け入れるようになりました。
数回のセッションの後、プーロのセラピストは、もうこれ以上何もできないと言い残し、新しい仕事を探し始めました。それ以来、プーロは一人で何とかやってきましたが、彼の物語は再び暗い展開を見せ、彼を心の底から揺さぶる出来事となりました。ヴァスタアモのデータ漏洩がきっかけとなり、プーロをはじめとする数千人もの弱い立場の人々が、機密性の高いデータを漏洩させると脅迫する犯罪者から恐喝を受けました。
10月、Vastaamoの内部システムにアクセスされ、従業員400名と患者約4万人のデータが盗まれたというニュースが報じられました。住所、連絡先、そしてフィンランド政府発行の固有の身分証明書番号が盗まれ、被害者は詐欺や個人情報窃盗の危険にさらされました。盗まれたデータには、治療記録や診断書も含まれていました。
データは、Vastaamo の特注 IT システムのセキュリティ上の欠陥を通じてアクセスされたものだった。このシステムは、マーケティング教育を受けた熟練の製品開発者である同社の共同創業者兼 CEO である Ville Tapio 氏が社内のソフトウェア開発者チームに作成を依頼したものだった。
Vastaamoから40ビットコイン(40万3000ポンド)の身代金を強要しようとした後、正体不明の犯罪者たちは子供を含む個々の被害者からの支払いを狙い始めた。Puro氏は10月24日、200ユーロのビットコインを要求するメールを受け取った。24時間以内に支払わなければ身代金は500ユーロに増額され、支払わなければセラピストとの会話内容が公開されると脅された。
「RANSOM_MAN」と名乗るこの恐喝犯は、Vastaamoからビットコインを受け取るまで、毎日100人のデータを自身のTorファイルサーバーに公開すると主張しました。Vastaamoが抵抗したため、「RANSOM_MAN」は著名人や警察官を含む300人の個人データを公開しました。彼らは、ダークウェブ上のフィンランド語のディスカッションフォーラム「Torilauta」(「マーケットボード」の意)で人々とやり取りしていましたが、このフォーラムは11月1日に閉鎖されました。この閉鎖は今回の侵害とは無関係です。
「公立病院が推薦する企業なら、データ保護のための安全なシステムを備えているはずです」とプーロ氏は言う。「どこかの誰かが私の感情を知り、個人的なファイルを読むことができるという事実は不安ですが、これは妻や子供たちにも影響します。例えば、私のがんに彼らがどう反応したか、誰かが知っているかもしれません。」
それ以上に、プーロは自分の情報が誰かに利用されて個人情報を盗まれるのではないかと恐れている。「私の余命は長くありませんが、もし私が死んだ後に誰かが私の個人情報を利用したらどうなるのでしょうか? 私にはどうすることもできません。」
経験豊富なサイバー犯罪捜査官でさえ、Vastaamoデータの強奪は異例かつ痛ましい出来事だと捉えています。これは、侵害の規模やデータの極めて機密性が高いというだけでなく、個人への追跡が戦術のエスカレーションを示しているためです。フィンランドのサイバーセキュリティ企業F-Secureの最高研究責任者であるミッコ・ヒッポネン氏は、医療業界にとってさらに注目すべき点は、Vastaamoがハッカーにとっての脅威となっていたことだと述べています。
Vastaamoとその代理店数社は現在、それぞれデータ保護オンブズマンとフィンランド国家捜査局による正式な調査を受けています。そのため、この事件は医療機関のネットワークセキュリティ確保義務、そしてその義務を怠った場合の責任に広範な影響を及ぼすことになります。
ヴァスタアモ病院で発生した大規模な情報漏洩事件の一つは、2018年11月25日に発生しました。当時、すべてのデータが保存されていた電子患者登録簿(EPR)の顧客数は3万3000人強でした。フィンランド国家捜査局の主任捜査官、マルコ・レポネン氏は、当時のセキュリティは「システムを保護するために必要なレベルに達していなかった」と述べています。「EPRは長年にわたりインターネットに広く公開されていたため」、それ以前にデータが盗まれた可能性もあるとレポネン氏は付け加えました。レポネン氏は、事件の機密性を理由に、盗まれたデータの量についてこれ以上のコメントを拒否しました。
データログによると、EPRは2019年3月に再びアクセスされたことが明らかになっていますが、同じハッカーによるものかどうかは不明です。また、盗まれたデータの内容も正確には明らかではありません。この侵害を受けてVastaamoは脆弱性に対処しましたが、データはそれ以前からアクセス可能だったとレポネン氏は述べています。「おそらく、何らかの形でそのデータベースに侵入したのではないかと思います」とレポネン氏は言います。
セキュリティ上の欠陥の正確な詳細は未確認ですが、VastaamoのEPRに言及した過去の文書がGoogle検索で簡単にアクセスできたという報告があります。これはEPRへの関心を喚起しただけでなく、サーバーへのリンクも見つかりました。EPR自体も検索で見つけることができました。理論上は、正しいユーザー名とパスワードの組み合わせがあれば誰でもアクセスできることを意味し、パスワード設定はデフォルトの「root-root」のままだったという噂もあります。Torilautaに投稿した「RANSOM_MAN」は、デフォルトのユーザー名とパスワードでEPRにアクセスしたと主張しています。
タピオ氏は「ミスがあった」こと、そしてデータベース自体がオンラインでアクセス可能だったことを認めているものの、自分が会社のサーバーと関連セキュリティの管理を担当していたという「広く流布されている虚偽の情報」を否定している。「300人規模の会社のCEOがそのようなことをするはずがないことは明らかだと思います」と彼は述べている。しかし、アクセスパスワードがデフォルト設定のままになったことは一度もなかったと述べ、「RANSOM_MAN」の主張におけるこうした「不正確さ」は、彼が実際にデータを入手していなかったことを示していると示唆している。「恐喝犯が(ハッキングについて)言っていることは正しくありません」と彼は述べている。「技術的な詳細が一致していません」
Vastaamoの従業員3人は、最初の侵入から2年近く経った2020年9月末に、恐喝犯から接触を受けました。遅延の理由は不明ですが、恐喝犯がハッカーからデータベースを購入していたか、ハッカーが発見した情報の価値に気づくまでに時間がかかった可能性があります。Vastaamoの関係者は、国家捜査局(NBI)とデータ保護オンブズマンにこの脅威を報告しましたが、公表は10月21日まで待たされました。Vastaamoは、警察の捜査のため、それ以前は公表できなかったと述べています。同社は、システムの調査を民間のサイバーセキュリティ企業Nixuに委託しました。
10月24日、数千人の患者と従業員がメールで脅迫を受けたことで、この情報漏洩のニュースが報じられました。データによると、約3万6000件の患者報告書が盗まれたとされています。2万5000人以上の被害者が警察に恐喝を通報し、10人から20人が身代金を支払いました。また、身代金の支払いを試みたが失敗した人もいました。Vastaamoは、メール、手紙、電話で3万7000件以上のメッセージを被害者に送信し、セキュリティ侵害について知らせました。
「RANSOM_MAN」は10月23日の朝、300人の患者データに加え、10.9GBのTARファイルをサーバー経由で公開しました。その内容は不明ですが、患者データベース全体が含まれていたとすれば、多くの人がダウンロードし、恐喝ツールを入手できた可能性は十分にあります。懸念されるのは、このデータがどの程度拡散しているかを特定するのが難しく、サイバー犯罪対策当局が何年もモグラ叩きゲームを続けることになる可能性があることです。ファイルはアップロードから数時間後、消失しました。
その後まもなく、RANSOM_MANのサーバーが消失し、Vastaamoが恐喝犯に金銭を支払ったのではないかという憶測が飛び交った。警察はVastaamoに対し、この件の詳細を非公開にするよう求めているが、Vastaamoの現CEOであるヘイニ・ピルティヤルヴィ氏は、金銭の授受を否定している。RANSOM_MANはフォーラムが閉鎖される前に、Torilautaに数回投稿した。「彼がサイトを閉鎖したのは、戦術を変えたからだと思います」とヒッポネン氏は言う。「彼はVastaamoが金銭を支払わないと受け入れ、せめて金を得るために被害者を狙ったのです。」
ヴァスタアモが10月26日にヴィレ・タピオCEOの即時解任を発表したことで、騒動は続いた。タピオCEOの後任として4週間CEOを務めたトゥオマス・カフリ氏によると、タピオ氏は少なくとも2019年3月からデータ漏洩を認識していたものの、公表していなかった可能性が「非常に高い」という。タピオ氏はこれらの疑惑を公に否定し、「2018年11月のデータ漏洩とそれにつながったエラーは、2020年10月にニクシュの調査に基づいて初めて明らかになった」とFacebookに投稿した。
翌日、ヘルシンキ地方裁判所は、2019年6月にヴァスタアモを買収した投資会社を擁する持株会社PTKミッドコ・オイの申し立てに基づき、タピオ氏の1,000万ユーロ超の資産の一時差し押さえを命じた。タピオ氏は、売却時にセキュリティ上の欠陥を隠蔽したとして告発されている。PTKミッドコによると、タピオ氏は資産を「隠蔽、破壊、または放棄」したり、その主張を危うくするような行動をとったりする可能性があるという。
タピオ氏は、自分が「誤って」情報漏洩の責任者とされたと主張している。彼は、2017年以前はVastaamoのシステムは完全に安全だったと主張している。その年、従業員がリモート管理ツールに対応するためにセキュリティシステムを再構成し、EPRをインターネットに公開したのだ。また、2018年と2019年のデータ漏洩は、2019年3月にデータベースサーバーのファイアウォールを再インストールすることで「おそらく発見され、隠蔽された」と主張しているが、タピオ氏はそのような会話には関与していなかった。「2017年11月以前のシステムには、2018年と2019年のデータ漏洩の原因となった可能性のある欠陥は存在していなかった」。タピオ氏によると、同社が新しい心理療法センターを開設するたびに、その業務とシステムは当局の検査を受けていたという。
2020年9月に情報漏洩のニュースが表面化すると、タピオ氏は警察に通報し、Nixu社に障害調査を依頼しました。「今回のデータ漏洩は、決して起こるべきではなかった、理解しがたい悲劇です。この事件に衝撃を受けています」とタピオ氏は述べ、「他のすべての関係者に深くお詫び申し上げます。CEOとしての責任は理解していますが、同時に、数々の誤った理由で告発されています」と続けました。
レポネン氏は、ハッカーの身元特定に加え、フィンランド刑法に基づき、ヴァスタアモの従業員数名を訴追する準備を進めていると述べた。刑法では、故意または重大な過失により、個人データを処理してデータ主体のプライバシーを侵害し、「損害または重大な不便」を引き起こした場合、有罪となる可能性があると規定されている。フィンランド法には前例がないが、レポネン氏は、自身のチームがヴァスタアモの従業員約10名を訴追するのに十分な証拠を持っていると考えている。レポネン氏によると、これらの訴訟は来年フィンランドの裁判所に提起される予定だ。有罪判決を受けた者は、罰金または最長1年の懲役刑に処される可能性がある。
Vastaamoも標的となっている。フィンランドの国家データ保護機関であるデータ保護オンブズマン事務所も、Vastaamoの責任について調査を進めている。重要な問題は、データ管理者であるVastaamoがGDPRに従って行動したかどうかである。同社が2019年3月にデータ侵害を認識していたことが立証されれば、VastaamoはGDPR第34条に違反した可能性がある。同条は、データ管理者に対し、データ侵害の影響を受ける人々に遅滞なく通知することを義務付けている。Vastaamoは行政罰の支払いを命じられる可能性がある。
「攻撃の正確な詳細についてはコメントできませんが、彼ら(Vastaamo)は扉を開いたままにして、貴重な資産を自由に利用できる状態にしておいた、ということは言えます」と、フィンランドのデータ保護オンブズマン代理、ヤリ・ローマン氏は語る。
「社内調査の結果、2019年4月以前にVastaamoの顧客情報システムのセキュリティに欠陥があり、犯罪者が顧客データベースにアクセスするためにこのシステムを利用していたことが判明しました」と、Vastaamoの新CEOであるヘイニ・ピルティヤルヴィ氏は述べています。「この犯罪の結果、お客様の情報が悪意ある者の手に渡りました。深くお詫び申し上げます。」
ヴァスタアモのシステムのセキュリティについて、ピルティヤルヴィ氏は、保健福祉を管轄する国家機関であるヴァルヴィラがシステムの検査を終えたと述べている。「必要な調整が行われたとヴァルヴィラは述べています。私たちも状況を常に監視しています」とピルティヤルヴィ氏は述べた。ピルティヤルヴィ氏は、調査が進行中であることを理由に、セキュリティ上の脆弱性の詳細や「前CEOが最初の侵害を認識していたと信じる理由」についてコメントを拒否した。ヴァスタアモは11月27日に発表した声明で、「ほとんどの」顧客が「ヴァスタアモでの治療を継続しており、これは当社にとって重要な信頼の証であり、当社の治療サービスが人々にとって意義深いものであることを示している」と述べている。
ヴァスタアモ事件はフィンランドを揺るがし、国境をはるかに越えて衝撃波をもたらした。これはまた、警告でもある。「医療情報は何十年にもわたって爆発的な影響力を持ち続けるため、それを安全に保管する方法を見つけるには、まだ長い道のりがあります」とヒッポネン氏は言う。「誰も次のヴァスタアモ事件の被害者になりたくはありません。」
フィンランドでは、情報漏洩による影響が既に現れています。政府は、個人情報窃盗のリスクが高いデータ漏洩が発生した場合に、国民が個人識別コードを変更できるようにする法案を迅速に進めています。Vastaamoハッキング事件の捜査結果と、科される制裁の重大性は、今後の法的評価の参考となる可能性が高いでしょう。
「落ち込んで眠れない時期もあります。自殺願望もあったんです」とプーロは言う。「でも、どうせ死ぬんですし、そんなに長くはかからないでしょう。でも、妻と子供たちにとっては、これは一生忘れられない影響になるんです。」
この記事はWIRED UKで最初に公開されました。
