パリ – 01.07.2026: フランスで16歳から22歳の5人の容疑者が、医療機関に対するサイバー攻撃の疑いで逮捕された。警察と司法当局によると、彼らは病院や診療所のITシステムに不正に侵入し、患者の個人情報を含む大量のデータを窃取した疑いがある。これらの措置は連携した捜査の一環として行われ、複数の住居が家宅捜索され、記録媒体が押収された。
捜査当局は、攻撃が医療分野の管理用・診療用ソフトウェアやネットワーク化されたサービスを標的にしていたと報告している。目的は、連絡先情報、治療記録の要素、管理用識別子などを含む大量の構造化データを抽出することだったと見られる。これらの情報の一部は、これまでのところ関連フォーラムで出品されていたという。影響を受けた施設やデータ件数の正確な数は現在フォレンジックで解明中である。
この作戦はサイバー犯罪を専門とする警察が、管轄の検察と連携して実施した。押収されたのはコンピューター、携帯電話、外部記憶媒体、ログイン情報のメモなどである。国のサイバーセキュリティ機関 ANSSI の専門家が技術解析を支援している。並行して、捜査官は特定のIT業者の脆弱性が悪用されたか、過去の事案との関連があるかどうかを調べている。
地域の保健当局は影響を受けた運営主体に通知した。施設には予防措置が適用されており、ログの確認、アクセスのリセット、ログファイルの解析が行われている。データ保護当局は、潜在的な被害者に対して不審な連絡に注意するよう促し、個別の状況については各施設からの案内を待つよう助言している。個人データの流出が確認された場合は、当局によれば通知が行われるという。
刑事上は、自動化されたデータシステムへの不正アクセス、データ改ざん、不正に取得したデータの売買などが検討されている。未成年の被疑者には特別な手続きおよび保護規定が適用される。起訴の可否はまだ決まっておらず、捜査は継続中である。当局は、これらの逮捕が、サイバー犯罪で若年の容疑者に対する一連の対策の一環であり、ここ数週間で強化されていることを強調している。
医療分野へのサイバー攻撃は、機微なデータの保護に関わり、救急外来や検査室、予約管理の運営に支障をきたす可能性があるため、特に重大と見なされている。専門家は、古いシステム、複雑なサードパーティのサプライチェーン、高い攻撃対象面の組み合わせを指摘している。提供者や運営者は短期間でパッチを適用し、多要素認証を義務化し、バックアップや緊急対応計画を検証可能な形でテストして回復力を高めるべきだとされている。
出典
- Franceinfo
- 01net
- Le Parisien
- Europe 1
- Le Monde