オンライン薬局企業で発生したこの問題は、ユーザーの個人情報が合法的に、ユーザーの意図していない組織の手に渡る可能性があること、そして、漏洩した情報がどのように悪用されているのか知るすべがないことを示しています。
通常、データ漏洩が発生した組織からプレスリリースが出される場合、少なくともいくつかの詳細情報が発表され、発生した問題についてこれまでに把握している内容と、データ漏洩に対する対策、そして影響を受けた顧客が何をすべきかが伝えられます。
しかし、オンライン薬局のフルフィルメント業務を行っているPostmeds社(Truepill社として業務を実施)で最近発生したデータ漏洩について、同社はインシデントの通知を行っていますが、その内容は全く役に立たないものでした。このインシデントでは、氏名、薬の種類、場合によっては人口統計情報や処方医の名前を含む個人情報が漏洩しています。
このデータ漏洩に関するBleeping Computerの記事では、Truepill社がどのように個人情報を入手したのか、被害を受けた顧客が不審に思っていることも伝えています。結局のところ、Postmeds社は多くのオンライン薬局や健康保険会社のフルフィルメント業務を行っていることから、一部の顧客情報を共有しなければならないのでしょう。
データ漏洩につながった最初の行動の詳細は明らかにされていませんが、セキュリティの今後の強化方針に関する記述はありました。それは、「従業員へのトレーニングを追加して、サイバーセキュリティの脅威に対する意識を向上させる」という対策でした。
これは、フィッシングまたはWebからソーシャルエンジニアリング攻撃を受けたユーザーが、Truepillのネットワークに最初にアクセスした可能性を示唆しています。この推測が正しいのであれば、ユーザーに対して、新しいスタイルの先進的なセキュリティ意識向上トレーニング(KnowBe4では“New School”と呼ぶ)を義務付けることで効果的な強化策となるはずです。
また、日本においても、医療機関へのサイバー攻撃が多発しており、厚生労働省は医療情報システムの安全管理に関するガイドラインを発行しています。その中の「情報セキュリティ対策を踏まえた訓練・教育」の項で、必要な情報セキュリティ対策が医療情報システム上で実装されているとしても、その内容が医療情報システムの利用者をはじめ、関係者に認知されておらず、適切な対策が実行されていなければ、当該規程類が遵守されていないことと同義であり、情報セキュリティ対策に関する統制対象者すべてに対して 定期的な教育・訓練を実施すべきであることを指摘しています。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
原典:Stu Sjouwerman著 2023年11月29日発信 https://blog.knowbe4.com/truepill-data-breach-impacts-2.3-million-customers
