医療ソフト大手Chipsoft、盗まれた患者データが削除済みと発表——身代金支払いは不明

オランダの医療ソフトウェア企業Chipsoftは、今月初めに発生したランサムウェア攻撃によって盗まれた患者データが「技術的に正しい方法で」削除されたと発表した。同社は火曜日の声明でサイバーセキュリティ専門家による削除の確認を報告したが、ハッカー側が本当にデータのコピーを保持していないかどうかについては説明していない。身代金の支払い有無も公式には明らかにされておらず、不透明な部分が残る。

ハッカー集団「Embargo」による攻撃の経緯

攻撃を行ったのは「Embargo」と名乗るハッカー集団で、Chipsoftのシステムから100GBにのぼる患者データを盗み出したと主張。ダークウェブへの公開をちらつかせながら交渉を迫った。NOS放送が報じたところによると、Chipsoftは先週の時点で同集団と交渉中であることを認めており、今回の削除確認はその交渉の結果とみられる。ただし、削除の確認方法や交渉の詳細については公表されていない。

今回の攻撃が影響を与えたのは、Chipsoftのクラウド型プラットフォーム「HiX 365」を利用していた医療機関だ。具体的には一般開業医（家庭医）、リハビリクリニック、そしてロッテルダム眼科病院などが被害を受けた。一方で、同社のソフトウェアを自前のサーバーで運用していた病院は影響を免れた。クラウドサービスの集中管理が持つリスクを改めて浮き彫りにした形だ。

医療インフラへの広範な影響と今後の課題

Chipsoftのソフトウェアはオランダの病院の約70%で採用されており、同国の医療ITインフラにおける中核的な存在だ。今回の攻撃はその一部にすぎないものの、患者の個人情報や医療記録が標的になったという事実は、医療機関のサイバーセキュリティへの信頼を揺るがすものとなった。同社は「復旧作業は順調に進んでいるが、当然ながら慎重さと時間が必要だ」とコメントしている。

オランダに暮らす日本人にとっても、かかりつけの家庭医や専門クリニックがHiX 365を使用していた場合、自分の医療情報が今回の攻撃に巻き込まれていた可能性がある。現時点でChipsoftは個別患者への通知状況を明らかにしていないが、利用している医療機関への確認を検討することも一つの選択肢だ。医療分野へのサイバー攻撃はヨーロッパ全体で増加傾向にあり、今回の事案はオランダにおけるデジタル医療インフラの脆弱性を示す重要な事例として記録されることになるだろう。