C
月内に
医療機器会社AdaptHealthが、サードパーティ契約者を標的としたソーシャルエンジニアリング攻撃により、クラウドシステムに不正アクセスされたことを明らかにし…
📌 一言でいうと
医療機器会社AdaptHealthが、サードパーティ契約者を標的としたソーシャルエンジニアリング攻撃により、クラウドシステムに不正アクセスされたことを明らかにしました。攻撃者は患者管理システムや電子健康記録(EHR)ポータルなどにアクセスし、患者データや保険請求用パスワードを窃取しました。同社は6月15日に攻撃者から連絡を受けた後、インシデント対応プロトコルを有効化しました。
🔍該当判定
- 外部の委託業者(ベンダー)に、自社のクラウド環境(AWS/Azure/GCP等)への直接アクセス権限を与えている
- クラウド上の社内文書管理ツールや顧客管理システムを、外部業者が直接操作できる設定にしている
- 外部業者とのやり取りにおいて、電話やチャットでの本人確認をせず、口頭の依頼だけでパスワードリセットや権限変更を行っている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
サードパーティベンダーのアクセス権限を最小限に制限し、多要素認証(MFA)を徹底すること。また、ソーシャルエンジニアリングに対する従業員および協力会社の教育を強化することを推奨します。