根據駭客釋出的樣本顯示，外洩資料疑似來自醫院內部 LIS（檢驗資訊系統）與 HIS（醫院資訊系統），內容包含病患姓名、電話號碼、地址、出生日期、急診資訊、檢驗代碼、採檢時間以及部分臨床處置紀錄。部分截圖甚至直接出現「ER採血」、「氧氣治療種類：Cannula」等內容，顯然不只是一般個人資料，而是真正涉及病患診療過程與醫療服務內容的敏感醫療資訊。

外洩樣本來自醫療核心系統　涉及病患個資與臨床資訊

另從曝光資料的結構分析，也可看到ACCESSNUM、ORDERNUM、TESTCODE、NLISNUM、HISCODE 等典型大型醫療機構使用的欄位格式。資料間具有高度關聯性，同一檢驗單對應多項檢驗結果，顯示這些資料極可能來自後端資料庫匯出，而非一般使用者端設備中的零散檔案。

此外，攻擊者在貼文中同時列出台北馬偕、淡水馬偕、新竹馬偕、台東馬偕以及馬偕兒童醫院等多個院區名稱，也讓外界關注此次事件是否涉及整個醫療體系的共用資訊架構，而非單一院區遭到入侵。

此次事件之所以引發資安圈高度關注，不只是因為資料外洩本身，更因為它與去年2月初勒索軟體 CrazyHunter 攻擊事件形成鮮明對比。

從 CrazyHunter 到 MD-Ghost　攻擊模式已出現明顯轉變

去年2月CrazyHunter 事件期間，駭客組織曾公開約32.5GB資料作為勒索籌碼，並以系統加密與營運中斷作為施壓手段。當時攻擊造成院內資訊設備異常，成為台灣醫療體系近年最受矚目的勒索軟體事件之一。然而，上週現身的The BlackH4t MD-Ghost則屬於另一種類型的威脅行為者。

根據近期地下威脅情報觀察，MD-Ghost並非以加密系統聞名，而是活躍於暗網論壇與Telegram洩露頻道的資料外洩組織，其活動主要圍繞在資料竊取、資料庫販售、帳號憑證外流、資料交易以及公開洩露活動。

換言之，CrazyHunter 的目標是透過癱瘓系統迫使受害組織支付贖金，而 MD-Ghost的商業模式則是直接將資料作為商品販售與變現。

這種差異也反映出全球網路犯罪生態正在發生變化。過去攻擊者關心的是如何讓企業無法營運；如今愈來愈多犯罪集團則將焦點放在資料本身，因為敏感資料往往能在地下市場產生更長期且持續的獲利價值。而這也凸顯台灣醫療產業所面臨的威脅，正從傳統勒索軟體攻擊逐漸演變為以資料竊取與資料變現為核心的新型態網路犯罪。

1.2TB與32.5GB的差距　不只是數字放大38倍

若將此次事件與去年 CrazyHunter 事件相比，最直接的差異便是資料規模。去年 CrazyHunter 對外公布的資料量約32.5GB，而此次 MD-Ghost 宣稱掌握的資料量高達1.2TB，相當於前次事件的 38 倍。

對資安調查人員而言，這個數字背後所代表的意義遠超過容量增加。32.5GB的資料量可能來自單一業務系統、檔案伺服器或部分資料庫內容；但當規模達到TB 等級時，通常意味著攻擊者已接觸到更大範圍的核心資訊資產，包括跨院區資料庫、歷史病歷、檢驗系統紀錄、內部文件以及其他關鍵資訊系統，也代表其取得的存取範圍與權限層級，很可能比外界目前所認知的更深入。

對此，馬偕醫院回應表示，本案經內部瞭解，疑似為2025年發生之駭客攻擊事件，而該起事件後，本院已嚴密進行資安維護與內部查核，監測網路流量均無異常。而昨天得知此事後，本院已向調查局報案，將全力配合檢調偵查，也再次呼籲，現今網路詐騙充斥，只要進行個資買賣或下載，都會觸犯個人資料保護法。患者若對本院就醫資訊有疑慮，可撥打資安服務電話：（02）2543-3535轉分機3564。

專家籲醫療資安應從「防勒索」轉向「防資料外洩」

竣盟科技總經理鄭加海表示，從此次疑似 MD-Ghost 事件可以看出，醫療機構面臨的風險已不再只是勒索軟體造成系統停擺，而是攻擊者在長時間潛伏後，持續竊取與外流敏感資料。醫療機構除了強化多因素驗證（MFA）、權限管理與資料保護機制外，更重要的是提升對異常行為的偵測能力。當攻擊者成功突破第一道防線後，如何及早發現橫向移動、權限提升與未授權存取行為，將成為降低衝擊的關鍵。

鄭加海進一步表示，近年國際間愈來愈多關鍵基礎設施與醫療機構開始導入欺敵防禦（Deception Technology）等主動式防禦機制，透過誘餌帳號、誘餌系統與誘捕環境，在攻擊者接觸真正關鍵資料前即發現其行蹤，縮短潛伏時間並提高事件應變效率。「在資料竊取已成為駭客主要獲利模式的今天，企業關注的重點不應只是防止入侵，而是建立持續監控與快速發現威脅的能力，才能在資料外流前及時阻斷風險。」