カリフォルニアに本拠を置くサイバーセキュリティ企業のResecurityは8月25日(米国時間)、「Resecurity - COVID-19 data put for sale in Dark Web」において、タイの医療科学省からCOVID-19(新型コロナウイルス)の患者に関する情報を含む個人識別情報(PII: Personally Identifiable Information)が盗まれたと伝えた。窃取された個人データの一部はダークWeb市場で売りに出され、Telegramチャネルを介して購入することもできると報告されている。
取得したサンプルとセキュリティインシデントに関連する追加の調査に基づき、サイバー犯罪者がタイ政府ポータルに不正にアクセスでき、ユーザーと記録を不正に管理することが可能だったことが明らかとなった。姓名、性別、年齢、連絡先、病歴など医療に関する詳細な個人識別情報が窃取されている。この攻撃はオンライン調査に使用されるWebアプリの認証モジュールに存在するアクティブSQLインジェクション脆弱性を悪用して行われたとされている。
侵入が確認された時点で、サイバー犯罪者は少なくとも5,151件の詳細な記録にアクセスし、合計15,000件の情報が流出する可能性があった。また、さらなる更新や新しい記録の収集をリアルタイムで監視するために使用される可能性があるとのことだ。
Resecurityは、ダークWebにおけるデータ流出とデジタルIDデータの露出を常に監視しており、今回の不正アクセスをすでにタイの法執行機関およびCERTに警告している。
タイではほとんどの医療サービスがデジタル形式で提供されているため、サイバー犯罪者グループやその他のダークWebアクターにとって、魅力的なターゲットとみられている。また、サイバー犯罪者が個人情報や医療データを狙うのはタイだけに限らないとされており、例としてインドネシアのCOVID-19の患者記録23万件以上がダークWeb市場で公開されるというサイバー攻撃があったと伝えている。