４５０万人分が流出

　情報流出は、上場企業であるＣＨＳが米証券取引委員会に提出した資料で公表された。ロイター通信などによると、米サイバーセキュリティー企業、マンディアントが調査を行った。この会社は、中国人民解放軍のサイバー部隊の存在を突き止めたことで知られる。

　「彼らは、気づかれることなく、何度でも長時間にわたってサーバーに侵入できる相当高度な技術を有している」

　調査責任者のチャールズ・カーマカル氏は、ロイター通信にこう語った。

　攻撃を仕掛けたのは、「ＡＰＴ１８」と呼ばれる中国のハッカー集団。ＣＨＳが運営する全米２９州の２０６病院で過去５年間に医療サービスを受けた患者約４５０万人の住所や氏名、生年月日、電話番号、社会保障番号が盗まれた。

　ただ、病名や治療に関する情報、クレジットカード番号は流出しておらず、医療機器開発に関するデータも無事だったという。

　「過去４年、前例ない」

　ＡＰＴ１８はこれまで、ハイテク企業のほか、金融や建設、ヘルスケア関連の企業が持つ特許技術など知的財産に関する情報を標的にしてきた。ＡＰＴ１８を監視してきた別の米サイバーセキュリティー企業、クラウドストライクは、ロイター通信に「彼らの背後には北京の政府関係筋がいるか、あるいは政府機関から直接指示を受け攻撃を展開している可能性がある」との見方を示した。

　ただ、今回盗まれた患者の個人情報はこれまでの標的とは大きく異なり、その意図は謎だ。マンディアントのカーマカル氏も「過去４年間、この集団を監視してきたが、こうした情報を盗んだ前例はない」と、驚きを隠さない。

　米国ではこの半年間に医療機関へのサイバー攻撃が相次いでおり、６月にはモンタナ州保健衛生局のサーバーから約１００万人の個人情報が盗まれた。今回の被害はそれを大きく上回り、米保健福祉省が医療機関に対するサイバー攻撃の追跡調査を始めた２００９年以来で最悪の規模となった。

　マンディアントでは中国の計２０のハッカー集団を対象に、医療機関へのサイバー攻撃の監視を強化しているという。

　手当たり次第に…

　なぜ医療機関を標的とし、患者の情報を盗み出したのか。犯罪者集団なら詐欺や銀行口座の開設などに利用できるが、中国当局の関与も疑われるハッカー集団にしてはせこすぎる。

　「彼らは手当たり次第に情報を盗み出そうとして、たまたまＣＨＳの患者情報を吸い上げたのかもしれない」。中国によるハッキングの米専門家はこんな見方を示す。

　中国が米国に対し無差別サイバー攻撃を開始した可能性も否定できない。（ＳＡＮＫＥＩ　ＥＸＰＲＥＳＳ）