メディバンクのデータ漏洩はなぜ起きたのか？その原因と防止策

1. はじめに#

2022年10月、オーストラリア最大の民間医療保険会社の1つであるメディバンク（Medibank）は、970万人の顧客の機密性の高い個人情報および医療データが流出するデータ漏洩事件に見舞われました。この事件は、基本的なサイバーセキュリティ対策を怠った場合の深刻な結果を示しています。将来の同様の攻撃を防ぐためには、漏洩がどのようにして発生したのか、そして悪用されたセキュリティのギャップを理解することが不可欠です。

そのため、本ブログ記事では以下の主な疑問について解説します。

• メディバンクのデータ漏洩を可能にした脆弱性とは何か？
• メディバンクのデータ漏洩を防ぐことができた対策とは何か？

2. メディバンクのデータ漏洩はどのようにして起きたのか？#

メディバンクのデータ漏洩は、高度なハッキング手法の結果ではありませんでした。むしろ、防ぐことができた一連のセキュリティ上のミスが原因で発生しました。これらの見落としにより、サイバー犯罪者がメディバンクのネットワークに侵入し、大量の機密情報を盗み出し、その後身代金を要求することが可能になったのです。

2.1 盗まれた認証情報と保護されていない侵入経路#

攻撃は、メディバンクと契約していたサードパーティのITプロバイダーが、メディバンクの管理者権限を持つログイン情報を個人デバイスに保存していたことから始まりました。このデバイスはマルウェアに感染しており、そこから攻撃者はユーザーの認証情報を取得しました。当時、メディバンクのリモートアクセスシステムは多要素認証を要求していなかったため、攻撃者は盗んだ認証情報を使って会社のネットワークにログインし、正規ユーザーを装うことができました。

2.2 データ窃取とメディバンクの対応の遅れ#

メディバンクのシステム内に侵入した犯罪者は、顧客の機密情報を検索して抽出するスクリプトをインストールしました。彼らはこのデータを圧縮し、組み込まれたバックドアを通じてネットワークの外部へ転送しました。会社のセキュリティツールは不審な活動を警告していましたが、これらの警告に対して必要な緊急性を持った対応は行われませんでした。メディバンクのセキュリティチームがようやく行動を起こし、攻撃者のアクセスを遮断した時には、すでに200GBの個人データが盗み出されていました。

2.3 身代金の要求とデータ流出#

盗まれた情報には以下が含まれていました。

• 氏名
• 生年月日
• パスポート情報
• メディケア番号

これらのデータを手にした攻撃者は、情報の一般公開を止める対価として1,000万米ドルの身代金を要求しました。メディバンクは、支払いに応じればさらなる攻撃を助長することになると考え、これを拒否しました。その結果、犯罪者は報復としてダークウェブ上でデータの一部を公開し始め、同社にさらなる圧力をかけました。

3. メディバンクのセキュリティにおける主な脆弱性#

メディバンクのデータ漏洩は、組織のサイバーセキュリティ防御におけるいくつかの決定的な弱点を浮き彫りにしました。これらの不可欠なセキュリティコントロールを実装しなかったことで、メディバンクは攻撃者が特権アクセスを悪用し、内部システムを横断し、機密データを抽出する機会を作り出してしまいました。事件の要因となった主な脆弱性は以下の通りです。

3.1 認証情報保護の欠如#

メディバンクが特権を持つ認証情報を適切に保護できなかったことで、攻撃者は初期のセキュリティ対策を回避することができました。システムへのログイン時に2FA（二要素認証）/MFAが導入されていなかったためです。

3.2 最小特権の原則（POLP）の欠如#

ハッカーがダークウェブで購入した従業員アカウントは、日常業務を実行するために必要な範囲を超えた権限を持っており、高権限アカウントが侵害されるリスクを高めていました。これにより、攻撃者は直接重要なデータにアクセスすることが可能でした。

3.3 不十分なネットワークセグメンテーション#

ネットワークセグメンテーションが欠如していたため、攻撃者は機密データを容易に特定し、抽出することができました。隔離されたゾーンや堅牢なアクセス制御がなかったため、攻撃者は大きな障壁に直面することなくデータベースにアクセスできました。

3.4 バックドア検出の遅延#

最終的にデータ漏洩を検出したものの、メディバンクの対応が遅れたため、サイバー攻撃を遮断する前に、攻撃者はすでに大量のデータをダウンロードすることができました。

4. メディバンクのデータ漏洩はどうすれば防げたのか？#

メディバンクのデータ漏洩の被害を軽減、あるいは完全に防ぐことができた可能性のある4つの戦略を紹介します。

4.1 サイバー脅威の認識トレーニングの実施#

フィッシングは依然として認証情報窃取の最も一般的な手口の1つであるため、従業員に対してフィッシングの試みや認証情報の窃取を認識する方法を教育することで、初期侵害のリスクを軽減できます。

4.2 最小特権の原則（POLP）の徹底#

POLPは、機密システムおよびデータへのアクセスを必要とする人にのみ制限します。POLPを徹底することで、メディバンクは攻撃者の動きを遅らせたり、重要なデータベースへのアクセスを完全に防いだりできた可能性があります。

4.3 多要素認証（MFA）の導入#

MFAは、パスワードだけでなく追加の検証ステップを要求することで、セキュリティの層を追加します。マイクロソフトによれば、MFAはアカウント侵害の試みの最大98%を防ぐことができます。リスク要因に基づいて要件を調整するアダプティブMFAを利用すれば、さらに強力な保護を提供できます。

4.4 堅牢なネットワークセグメンテーションの実装#

ネットワークセグメンテーションは、機密データを安全なゾーンに隔離し、攻撃者がデータを特定してアクセスすることをより困難にします。セキュリティをさらに強化するために、ジャンプサーバーを使用してこれらのゾーンへの接続リクエストを制御し、不正アクセスのリスクを軽減することができます。

5. 結論#

メディバンクのデータ漏洩は、今日のデジタル環境における堅牢なサイバーセキュリティ対策の重要性を浮き彫りにしています。認証情報保護、MFA、POLP、ネットワークセグメンテーションといった基本的なセキュリティプラクティスを実装することで、組織は同様の攻撃を受けるリスクを大幅に軽減することができます。

この事件は、顧客の機密データを保護することが単なる法的義務ではなく、デジタル時代における信頼を維持するための基本的な側面であることを強く思い起こさせるものです。

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト：Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します（既存のIDPと併用）。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています（passkey有効化率+80%）。 Passkeyエキスパートに相談する →

よくある質問#

攻撃者は最初どのようにしてメディバンクのネットワークに侵入したのですか？#

攻撃者は、マルウェアに感染したサードパーティITプロバイダーの個人デバイスから、メディバンクの管理者認証情報を取得しました。当時、メディバンクのリモートアクセスシステムには多要素認証が導入されていなかったため、盗まれた認証情報だけで正規ユーザーとしてログインすることが可能でした。

攻撃者がネットワークに侵入した後、メディバンクのデータ漏洩がこれほど深刻な被害をもたらした理由は何ですか？#

被害を拡大させた2つの主な弱点がありました。侵害されたアカウントが日常業務に必要な範囲を超えた過剰な権限を持っており、最小特権の原則に違反していたこと、そして不十分なネットワークセグメンテーションにより、攻撃者が大きな障壁なく自由に移動し、機密データベースを特定して抽出できたことです。

メディバンクのデータ漏洩を最も効果的に防ぐことができたセキュリティ対策は何ですか？#

すべてのリモートアクセスポイントにMFAを強制することが、欠けていた最も重要な対策でした。マイクロソフトのデータによれば、MFAはアカウント侵害の試みの最大98%をブロックします。MFAを最小特権の原則および堅牢なネットワークセグメンテーションと組み合わせることで、たとえ認証情報が盗まれたとしても、攻撃を阻止または大幅に制限できたはずです。

メディバンクのようなデータ漏洩の後、組織が身代金の支払いを避けるべきなのはなぜですか？#

メディバンクが1,000万米ドルの身代金の支払いを拒否したのは、支払いを行えば自社や他社へのさらなる攻撃を助長することになると考えたためです。この拒否によりダークウェブへのデータ流出を招きましたが、この姿勢は「身代金を支払ってもデータの削除は保証されず、繰り返しの攻撃を誘発する」という一般的なセキュリティの指針に沿ったものです。