Malwarebytesは12月13日(米国時間)、「4.8 million healthcare records left freely accessible|Malwarebytes」において、カナダの企業が480万件を超える医療記録を公開していたと報じた。

セキュリティ研究者のJeremiah Fowler氏によって、検眼士(optometrist)のケア向上を支援するAIソフトウェアソリューション企業「Care1」のクラウドストレージから公開状態のデータベースが発見された。

検眼士(optometrist)という資格は日本国内に存在しないが、欧米では眼の検査、矯正器具(眼鏡など)の処方が可能な資格とされる。

  • 4.8 million healthcare records left freely accessible|Malwarebytes

    4.8 million healthcare records left freely accessible|Malwarebytes

情報流出の概要

研究者は発見した問題を「Eyecare & Healthtech Company Exposed Almost 5 Million Medical Records」にて報告している。報告によるとカナダ企業の「Care1」は同社が利用しているクラウドストレージ「Amazon S3」上に、パスワードによる保護および暗号化を施していないデータベースを保管していたという。

データベースのサイズは2.2TBで、データ件数は4,883,856件とされる。データはPDFファイルや.csvまたは.xls形式の表計算ドキュメントなどで、次の情報を含むことが確認されている。

  • 患者の個人健康番号を含む個人識別情報(PII: Personally Identifiable Information)
  • 医師のコメント
  • 検査結果の画像
  • 健康状態に関する詳細

影響と対策

Care1は研究者からの報告を受けて、速やかに外部からのアクセスをブロックした。Care1は管理方法(外部委託の有無)、公開期間やアクセス数などを明らかにしておらず、影響範囲は不明とされる。

個人健康番号を含む個人識別情報はスピアフィッシング攻撃やソーシャルエンジニアリング攻撃に悪用される可能性がある。カナダの個人健康番号を所有し、カナダで眼鏡やコンタクトレンズを作成したことのある消費者には警戒することが望まれている。