米ジョージア州の病院グループがサイバー攻撃を受け個人情報を侵害されました。
実は、その犯人はセキュリティ会社の幹部でした。
そしてその動機は、事件をネタに自社のセキュリティ製品を買わせる為であったという話。
被害を受けた病院
米ジョージア州内のDuluth(ダルース)とLawrenceville(ローレンスビル)の2ヶ所にある、2つのGwinnett 医療センター(GMC)です。
犯人と動機
ヘルスケア・サイバー・サービス(Healthcare cyber services)社の、 幹部(COO)であるVikas Singla被告です。(2021年の起訴時、45歳)
Singla被告は、営業活動の為に病院をハッキングすることを思いつきました。
事件を起こして、セキュリティ製品の契約を増やすことが目的です。
犯行の経緯
被告は2018年9月27日、Gwinnett 医療センターの電話システムに不正に侵入し、そのオペレーティング システムを改竄しました。(詳細な手口については公開されていません)
病院の緊急通報を含む電話システムを停止させることにより200台以上の電話機を故障させ、300人以上の患者に関する機密情報にもアクセスしました。
さらには、200 台以上のプリンタに「WE OWN YOU」(「支配下に置いた」といった意味)というメッセージを印刷させるコマンドも送信しました。
事件後の営業活動
そして攻撃後には、被告は Twitter アカウントを通じてこの事件の被害を宣伝・拡散しました。
また日常の営業活動においても、Gwinnett 医療センター事件を引き合いに出して、顧客に対してセキュリティサービスを勧誘していたとのことです。
裁判の結果
ジョージア州連邦地方裁判所は、Gwinnett 医療センターに対するサイバー攻撃の全責任を認めたVikas Singla被告の有罪答弁を詳述した2023年11月16日の法廷手続きの提出書類を公開しました。
司法省によると、被告は医学的問題と責任を認める意向があるため懲役刑は回避される可能性が高いですが、有罪答弁には国外退去と総額80万ドル以上の賠償金も含まれています。
まとめ
事件そのものは2018年に起こったものです。犯人は2021年に起訴され、今回2023年に有罪を認めたとの記事です。
セキュリティ製品を売りたいがために、営業目的にハッキングですか。
そうですか。しかも病院相手に。
人の命を何だと考えているんでしょうかねえ。
コメント