VirusTotal ordered to reveal private info of stolen HSE data downloaders
2021/07/01 BleepingComputer — アイルランドの裁判所は、先日のランサムウェア攻撃の際に、公的医療サービスから盗み出した機密データをダウンロード/アップロードしたサブスクライバーの情報を提供するよう、VirusTotal に命じた。この5月に、アイルランドの公的医療システムである HSE は、Conti ランサムウェア攻撃の標的となり、デバイスが暗号化されたことで、その IT システムに大規模な障害を生じた。
この攻撃において、Conti は 700GB のデータを盗んだと主張しており、その中には、患者と従業員の情報/契約書/財務諸表/給与明細などが含まれていたとされる。データを盗み出したことを証明するために、盗んだデータのサンプルが含まれているというファイルへのリンクを、Conti グループは交渉チャットに掲載した。FT.com によると、この盗まれたデータのサンプルは、患者データを含む 27個の HSE ファイルで構成されており、その後に、マルウェア・スキャン・サイトの VirusTotal にアップロードされた。FT.com は。「この 27個のファイルには、12人の個人記録が含まれている。
FT が確認したファイルには、緩和ケアのために入院した男性の、入院記録と検査結果が含まれていた。そのファイルの大まかな内容は、FT が確認した死亡通知と一致していた」と報じている。VirusTotal は、ファイルをスキャンするだけではなく、アップロードされたファイルの保管場所としても機能しており、サブスクライバーは自身のセキュリティ研究/分析や、セキュリティ・ソフトウェアの改善のために、ファイルの検索/ダウンロードが可能となっている。しかし、ファイルが VirusTotal にアップロードされると、他のサブスクライバーが機密データをダウンロード/閲覧することも可能になってしまう。
この記事は、アイルランドの裁判所が、盗まれたデータを所持している者に対して、 HSE への返還を求める差し止め命令を出したので、FT もデータを返還したが、そのサンプルの提供者に関しては情報共有を拒否したと、説明しています。火曜日に、アイルランド高等裁判所は、VirusTotal の所有者である Chronicle Security Ireland と Chronicle LLC に対して、HSE のデータをダウンロード/アップロードしたサブスクライバーの個人情報を引き渡すよう求める命令を出しました。そこ個人情報には、電子メールアドレス/電話番号/IP アドレス/物理的住所などが含まれるそうです。TheJournal によると、盗まれたデータを含むファイルは、VirusTotal から 23回ダウンロードされた後に、5月25日に同サービスにより削除されたそうです。
IoT OT Security News 