オーストラリア最大の民間健康保険会社、メディバンク・プライベート・リミテッド。昨年、ハッキングによるサイバー攻撃を受け顧客の個人情報が漏えい、現在、顧客らによる複数の訴訟に直面しています。そんな中、今度は同社のプロパティマネージャーがサイバー攻撃を受けて同社スタッフの名前などが記されたファイルが流出したようです。メディバンクにとどまらずオーストラリアではサイバー攻撃被害が深刻化しており大きな社会問題になっているようです。
MOVEit脆弱性による新たな侵害
ロイターなどの報道によると、メディバンクのプロパティマネージャーが米Progress Software社のファイル転送ソフトMOVEitを使用していたことからファイルが流出したということです。メディバンクは顧客データへの侵害はないと表明しています。MOVEitをめぐってはゼロディの脆弱性を悪用してClopランサムウェアの犯行グループ(TA505、FIN11、LaceTempest)が企業等のデータを盗んで恐喝をしており、被害企業は数百社に及ぶとも報道されています。
メディバンクは昨年、元顧客を含む顧客970万人分のデータが盗まれ、犯行グループから恐喝を受けました。報道によると高レベルの認証情報が闇のフォーラムでハッカーに販売されてシステムへの侵入を許したということです。メディバンクは犯罪者に金銭の支払いを拒否し、その後、ダークウェブのREvilと関係があるとみられるサイトにデータが公開されました。データは元顧客を含む顧客970万人分の名前、生年月日、電話番号、電子メールアドレス、住所に加え、約48万人分の健康保険請求が含まれていたようです。REvilと関係するとみられるこの犯行グループによるメディバンクシステムからのデータ盗難は、オーストラリアにおける最大規模の個人情報漏えい事件へと発展しました。
データの漏えいに対してメディバンク顧客らによる集団訴訟が起き、今年5月4日にはスレーター&ゴードン法律事務所による集団訴訟がオーストラリア連邦裁判所に提起されました。メディバンクは複数の集団訴訟により巨額な賠償金の請求を受ける可能性があるということです。オーストラリアでは昨年9月には通信会社のオプタスも侵害を受けて大量の個人情報が流出しており、オプタスに対しても集団訴訟が起きています。
メディバンクとオプタスで1400万件流出
このような中、MOVEitを使用していたメディバンクのプロパティマネージャーがMOVEitの脆弱性を悪用しているClopランサムウェア犯行グループによる侵害を受け、スタッフの個人情報が記載されたファイルが流出したということです。しかし、メディバンクによると顧客情報は流出していないということですので、現状は限定的な被害にとどまっているようです。
メディバンクへの攻撃にとどまらずオーストラリアではサイバー攻撃による被害が深刻化しており、ロイターの報道によるとメディバンクとオプタスへのサイバー攻撃で約1400万件の個人情報が流出、これはオーストラリアの人口の56%に当たる規模だということです。特に医療やヘルスケアの分野で深刻なサイバー攻撃が行われているようで、最近ではがんセンターがメデューサとみられる犯罪グループからランサムウェア攻撃を受けたことが報じられています。
こうした事態を受けてオーストラリア政府は、国家のサイバーセキュリティ政策や重大なサイバーインシデントへの対応、サイバーセキュリティの能力向上を担う国家サイバーセキュリティコーディネーターを創設、空軍司令官のダレン・ゴールディ氏を任命し、今後、同氏が国家サイバーセキュリティ局と協力してオーストラリアのサイバーセキュリティ対策に取り組むということです。
【出典】
https://www.medibank.com.au/livebetter/newsroom/post/medibank-cybercrime-update8nov
https://www.slatergordon.com.au/class-actions/current-class-actions/medibank
https://jp.reuters.com/article/australia-cybersecurity-idJPKBN2RS0H7