米ニューヨーク州北部の病院グループがランサムウェア犯罪集団LockBitを提訴した話。
今回は、少し話が複雑です。(ソース)
登場人物
この話には、以下の3者が登場します。
- 加害者:Lockbit (ランサムウェアを使用して脅迫する犯罪グループ:日本で病院の電子カルテを暗号化したことで有名です。)
- 被害者:Carthage Area Hospital, Claxton-Hepburn Medical Center and North Country Orthopaedic Group – the members of Carthage, New York-based North Star Health Alliance(ニューヨーク州北部の病院グループ、データを盗まれた側の病院:以下 ” Carthage病院 ” と略します。)
- 第3者: Wasabi テクノロジーズ(米マサチューセッツ州のクラウドサービス会社で、Lockbitはこのクラウドサービス会社に病院から盗んだデータを預けていました。)
経緯
2023年8月31日にニューヨーク州Carthage病院が、サイバー攻撃を受け医療データ盗難の被害を受けました。
犯行グループはサイバー犯罪集団のLockbitです。
Lockbitは盗んだテータをWasabi社のクラウドに転送して保管していました。(なぜこの事実が判明したかの詳細は明らかになっていません。)
とにかく自分の所の医療データがWasabi社のクラウドにあることを知ったCarthage病院は、これを取り返すべく提訴に踏み切りました。
提訴内容
管轄裁判所はニューヨーク州セントローレンス郡裁判所。
提訴したのはCarthage病院。
提訴相手はLockbitの代表者としての ” John Doe ” と ” Jane Doe ” さん。前者は男性の、後者は女性の身元不明者に取り敢えずつける仮の名前として普遍的な名前です。(昔の日本で身元不明の水死体の名前を取り敢えず ” 土左衛門 ” と名づけるのと同じような感覚で使われます。)
提訴内容はクラウド会社のWasabi社にデータを預けたLockbitに対して、預けたデータの引き渡しとコピーの破棄を求めています。(事実上はデータを現に保有しているWasabi社に要求していることになります)
その後の動向
データを保管しているクラウド会社Wasabi社は、訴訟進行中の個別の案件には答えられないとしていますが、法的規則は遵守するとのことです。
まとめと感想
今回は善意の第三者(クラウドサービスのWasabi社)がサイバー犯罪に巻き込まれた形となりました。
流石に大きな病院グループの医療データともなるとかなり巨大データとなるので、Lockbitと言えども自前で用意するストレージでは足りずにクラウドサービスを使うようです。意外でしたが。
つまりクラウドサービス会社を医療側の味方につけてしまうような規則なり法律なりがこれから作られれば、医療側にとっては心強いことですね。法律理論的には難しい面もあるかも知れませんが。
この判決・判例が良い方向に進んでくれれば良いと思います。
コメント