アルケア従業員がフィッシング被害　医療機関など約600件の情報流出か

見出し

1 偽サイトでID・パスワード入力
2 茨城・栃木の医療機関中心に流出
3 不審な電話やメールに警戒を
4 フィッシングSMS、巧妙化する手口

医療機器メーカーのアルケア株式会社（東京都墨田区、伊藤克己社長）は25日、従業員の業務用携帯電話がフィッシング攻撃により乗っ取られ、医療機関や代理店の顧客情報約200件と従業員情報約400件が流出した可能性があると発表した。12月1日にセキュリティ強化を装うSMSが届き、記載されたURLから偽サイトに誘導されてApple Accountの情報を入力したことが原因という。

不正アクセスによる個人情報流出に関するお詫びとお知らせ｜アルケア株式会社より引用

偽サイトでID・パスワード入力

同社によると、12月1日に営業担当の従業員の業務用携帯電話にセキュリティ強化を求めるSMSが届いた。従業員が記載されたURLをクリックしたところ偽サイトに遷移し、Apple Account（メールアドレス）とパスワードを入力してしまった。

翌2日、攻撃者によってApple Accountの情報が書き換えられ、当該携帯電話1台が初期化されている事象を確認した。同社が直ちに調査を行いアカウントの復旧を試みたが、セキュリティ情報が書き換えられていたため復旧できず、アカウントが乗っ取られたことが判明した。

茨城・栃木の医療機関中心に流出

流出した可能性がある情報は、主に茨城県と栃木県の医療機関および代理店の顧客約200件と、同社および関係会社の従業員約400件。顧客情報には医療機関名または会社名、氏名（基本的に姓のみ）、電話番号が含まれる。従業員情報には氏名、業務用携帯電話番号、メールアドレスが含まれるという。

同社は「患者および一般の皆さまの情報は含まれていない」としている。また、メールアドレスなどの情報は顧客情報には含まれていないという。

不審な電話やメールに警戒を

同社は流出した電話番号に対し、同社や関係先をかたった不審な電話やメールが届く可能性があるとして、応答しない、着信拒否設定を行う、不審なメールに記載されたURLをクリックしないなどの対応を呼びかけている。

個人情報保護委員会に報告済みで、対象者の特定を進めて本件従業員と接点があったことが確認できた営業先などには順次、個別に連絡しているという。

フィッシングSMS、巧妙化する手口

フィッシング攻撃は、正規の企業やサービスを装ったメールやSMSで偽サイトに誘導し、IDやパスワードなどの情報を窃取する手口だ。近年は「セキュリティ強化」「アカウント確認」などと称して緊急性を装うケースが増えており、企業の従業員を狙った攻撃も多発している。

特にApple AccountやGoogle アカウントなどのクラウドサービスのアカウントが乗っ取られると、端末の初期化や遠隔ロックが可能になるほか、クラウド上に保存されたデータへのアクセスも可能になる。業務用携帯電話の場合、顧客情報や社内連絡先などが保存されているケースが多く、被害が拡大しやすい。

同社は「今回の事態を重く受け止め、従業員への情報管理教育を徹底し再発防止に努める」としている。外部専門家の協力のもと事実関係の調査を進めるとともに、セキュリティ体制の強化と教育の徹底を図るという。

問い合わせは同社お客様相談室（電話0120-770-175）で受け付けている。