5000万円超の身代金を心理療法を受ける患者数千人分の個人情報を盗んだハッカーが要求

by Blogtrepreneur

心理療法センターに通う数千人の患者の氏名・個人識別番号・メールアドレス・住所・心理療法の内容がハッキンググループに盗まれ、「情報を公開しないことと引き替えに45万ユーロ(約5500万円)を支払え」と脅迫されるという事件がフィンランドで発生しました。ターゲットとなった心理療法センターはフィンランドの政府機関の民間委託先であり、市民からの不信感が高まっています。

Hackers hijack and publish mental health data of hundreds of people
https://www.foreigner.fi/articulo/national/scandal-over-the-hijack-and-and-publication-of-private-mental-health-data/20201023121903008599.html

Data break-in may have compromised privacy of thousands of psychotherapy clients in Finland
https://www.helsinkitimes.fi/finland/finland-news/domestic/18203-data-break-in-compromises-privacy-of-thousands-of-psychotherapy-clients-in-finland.html

Finland shocked by therapy center hacking, client blackmail - ABC News
https://abcnews.go.com/Health/wireStory/finland-shocked-therapy-center-hacking-client-blackmail-73817011

ハッキンググループのターゲットになったのはVastaamoという、フィンランドの公衆衛生システムの下請け業者として民間で運営される心理療法センターです。Vastaamoはうつ病や不安障害に苦しむ患者に対して精神医学的治療を提供しており、患者の多くは社会保険機構・KELAを通じてセンターを訪れます。

Vastaamoによると、ハッキンググループはVastaamoのシステムに存在する脆弱性を利用して2018年11月から2019年3月の間に3度ハッキングを実施し、何千人もの患者が登録されるデータベースにアクセスしたとのこと。そして、患者のデータを公開しないことと引き替えに45万ユーロをビットコインで支払うように要求しました。

ハッキンググループは2020年10月21日から暗号化されたTor経由で1日100人のデータを公開し始めました。公開された情報の中には患者の氏名・個人識別番号・電話番号・メールアドレス・住所・心理療法の内容が含まれており、ハッキンググループは「身代金を支払うまで毎日情報を公開し続ける」と発表。Vastaamoが身代金の支払いに抵抗したため、26日までに300人以上の情報が公開されたと報じられています。

by Book Catalog

Vastamoは事態を警察に通報するとともにセキュリティの専門家に依頼し調査を開始。国家調査局(KRP)も調査を開始していますが、ハッキンググループの国籍を含め、まだ身元は明らかになっていないようです。一方で、ハッキンググループによるデータの公開が止まったことから「Vastamoが身代金を支払ったのではないか」とも見られていますが、Vastamoはこれについてコメントを発表していません。

なお、患者の中には、情報を非公開にすることと引き替えに身代金を支払うよう直接脅迫された人もおり、このような患者に対してVastaamoはすぐに警察に通報するよう呼びかけています。