サイバーセキュリティのCEO、病院のコンピューターにマルウェアをインストールした疑いで逮捕
内部者による攻撃の脅威の高まりを浮き彫りにする衝撃的な信頼関係の破綻として、サイバーセキュリティ企業のCEOが病院のコンピュータにマルウェアをインストールした疑いで逮捕されました。オクラホマ州に拠点を置くVeritacoのCEO、ジェフリー・ボウイ氏は、2025年4月14日の逮捕を受け、オクラホマ州コンピュータ犯罪法に基づき2件の重罪で起訴される見込みです。
この事件は医療界とサイバーセキュリティ業界の両方に波紋を広げ、サイバー脅威を生み出すのではなく、防御する立場にある個人がもたらす脆弱性について重大な疑問を提起している。
目次
不穏な違反の申し立て
裁判所の文書によると、この攻撃は2024年8月6日、オクラホマシティにある大規模医療施設、セント・アンソニー病院で発生したとされています。防犯カメラの映像には、ボウイ容疑者が病院内の廊下を歩き回り、複数のオフィスへのアクセスを試みた後、放置された2台のコンピューターを見つける様子が映っていたとされています。その後、ボウイ容疑者は20分ごとにスクリーンショットを密かに撮影し、外部IPアドレスに送信するマルウェアをインストールしたとされています。
病院職員の尋問に対し、ボウイは手術中の家族を見舞い、コンピューターを使う必要があったと主張した。しかし、セント・アンソニー病院のITセキュリティチームが行ったフォレンジック調査で、すぐに不正な悪意のあるソフトウェアがインストールされていたことが判明した。
「2024年8月6日、不正な人物が病院のコンピュータにアクセスし、マルウェアをインストールしようとした疑いが確認されました」と、セント・アンソニー病院を運営する医療システムSSMヘルスは公式発表で述べています。「対策を講じていたため、この問題は直ちに対処され、患者情報へのアクセスはありませんでした。」
被告の背景
ジェフリー・ボウイ氏は、2023年8月にVeritacoを設立する前は、ハイポイント・ネットワークスでシニアサイバーセキュリティエンジニアとして勤務し、その他複数のセキュリティ関連職を歴任するなど、サイバーセキュリティ分野でキャリアを積んできました。LinkedInではサイバーセキュリティ、デジタルフォレンジック、プライベートインテリジェンスを専門とするVeritacoは、従業員数わずか数名の小規模企業でした。
この侵害が特に憂慮すべきものである理由は、ボウイ氏の経歴を考えれば、コンピューターシステムの完全性と信頼性が人命を左右する環境である病院内にマルウェアを仕掛けることの意味を十分に理解していたはずだからだ。
潜在的な罰則と進行中の調査
オクラホマ州法では、コンピュータ犯罪法の重罪違反は、5,000ドルから100,000ドルの罰金、最長10年の懲役、またはその両方を含む重大な結果につながる可能性があります。現在、FBIと地元の法執行機関は、この事件の捜査を継続しています。
病院職員の迅速な対応のおかげで患者の記録が漏洩することはなかったが、この事件は内部からの脅威は予期せぬところから、さらには私たちを守るはずの人々からさえももたらされる可能性があることを厳しく思い起こさせるものだ。
ヘルスケア分野への教訓
医療機関は、取り扱うデータの機密性が高いため、既にサイバー攻撃の格好の標的となっています。今回の事件は、強固な物理的セキュリティ、厳格なアクセス制御、継続的な監視、そして内部システムに接触するすべての人(ベンダーや専門家と称する者も含む)に対する厳格な審査プロセスの重要性を改めて浮き彫りにしました。
組織は「信頼しつつも検証する」という考え方を維持し、高度な資格を持つ人物であっても、重要なインフラへの無制限のアクセスを許可しないようにする必要があります。今日のサイバーセキュリティは、外部からの攻撃者から身を守ることだけにとどまりません。内部からの脅威も同様に現実的であり、時にはさらに壊滅的な被害をもたらす可能性があります。