はじめに:Synnovisがデータ侵害を公表
英国の主要な病理サービスプロバイダーであるSynnovisは、2024年6月に発生したランサムウェア攻撃により、患者データの一部が盗難されたことを医療機関に通知しています。この攻撃は、ロンドンの複数の主要なNHS病院に「重大な影響」を及ぼしました。
Synnovisは、このデータ侵害の調査に1年以上を要し、2025年11月21日までに影響を受けた組織への通知プロセスを完了する予定であると発表しました。同社は、盗難されたデータが「構造化されておらず、不完全で断片化されていた」ため、その復元と分析には高度な専門知識とプロセスが必要であったと説明しています。
攻撃の詳細と影響
2024年6月3日に発生したランサムウェア攻撃は、King’s College Hospital、Guy’s Hospital、St Thomas’ Hospital、Royal Brompton Hospital、Evelina London Children’s Hospitalを含むロンドンのNHS病院の業務に深刻な影響を与えました。これにより、非緊急の病理検査や輸血がキャンセル、延期、または他のプロバイダーに転送される事態となりました。
このインシデントは、ロンドンでの血液不足を引き起こし、影響を受けた病院では800件以上の予定手術と700件の外来予約がキャンセルされる結果となりました。
盗難されたデータの内容
盗難されたデータには、影響を受けた患者のNHS番号、氏名、生年月日などの個人情報が含まれています。また、一部のケースでは、個人を特定できる可能性のある検査結果も含まれていました。しかし、Synnovisは、盗難された情報の大部分は「解釈するために臨床知識またはさらなる情報が必要」であると述べています。
Qilinランサムウェアグループの関与
Synnovisは攻撃を行った脅威グループ名を公表していませんが、このインシデントは国家サイバーセキュリティセンター(NCSC)の創設者兼初代CEOであるCiaran Martin氏によってQilinランサムウェアグループに関連付けられています。
Synnovisは、NHSトラストパートナーとの共同決定として、身代金を支払わないことを選択しました。これは、「倫理原則へのコミットメントと、重要なインフラ、患者のプライバシー、国家安全保障を脅かす将来のサイバー犯罪活動への資金提供を拒否する」という姿勢を反映したものです。
Qilinは2022年8月に「Agenda」という名前でRansomware-as-a-Service(RaaS)オペレーションとして登場し、これまでにダークウェブのリークサイトで300以上の被害を主張しています。
今後の対応と患者への通知
Synnovisは現在、データが影響を受けた組織に通知を行っていますが、患者への直接通知は行いません。英国のデータ保護法に基づき、患者への通知は影響を受けたNHS組織が担当することになります。