- NYC Health + Hospitalsがサイバー攻撃で180万人の機密データが流出したことを確認
- 盗まれた情報には、医療記録、政府発行身分証、地理的位置情報データ、バイオメトリック指紋と掌紋が含まれている
- この漏洩は第三者ベンダーの欠陥に起因し、詐欺、なりすまし、標的型フィッシングの長期的リスクをもたらしている
ニューヨーク市の公営医療制度であり、米国最大の自治体医療ネットワークであるNYC Health + Hospitals(NYCHHC)は、180万人の機密データを失ったサイバー攻撃に見舞われたことを確認した。
盗まれたデータには、変更不可能な指紋と掌紋が含まれており、この漏洩をさらに深刻なものにしている。
NYCHHCウェブサイトに掲載されたデータ漏洩通知を引用して、TechCrunchは、攻撃は2025年11月に開始し、2026年2月に犯人が最終的に発見されネットワークから除去されるまで続いたと述べている。しかし、この期間中に彼らは180万人の機密データを流出させることに成功した。これには患者の健康保険プランと保険契約情報、医療情報(例えば、診断結果、投薬、検査、画像データ)、請求書、クレーム、支払い情報が含まれている。
第三者サプライチェーン攻撃
社会保障番号、パスポート、運転免許証も流出したとのことで、さらに悪いことにNYCHHCは、攻撃者が「正確な地理的位置情報データ」も盗んだと述べている。
しかし、盗まれた最も価値のあるデータは、間違いなく指紋と掌紋である。正確にはどれだけの人が影響を受けているのか、また従業員と患者のどちらか、あるいは両方なのかは不明だが、TechCrunchによると、NYCHHCは犯罪歴確認のために従業員に指紋登録を要求している。
この事件は米国保健社会福祉省に報告された。
NYCHHCは、犯人が名前の明かされていない第三者ベンダーの欠陥を悪用したと述べた。CBTSのCISO(最高情報セキュリティ責任者)であるChris Debrunnerにとって、医療機関が「設計上相互接続されている」ため、これは特に驚きではない。しかし、これはまた「第三者リスクと彼らが使用している第三者は、調達チェックリストまたは年次コンプライアンスチェックリストとして扱うことはできない」ことも意味する。
「影響を受けた個人への下流リスクと影響は、初期対応をはるかに超えて続く可能性がある」とDebrunnerはコメントした。「医療情報、政府発行身分証、位置情報データ、バイオメトリック情報は、直接影響を受けた人だけでなく、潜在的には拡大家族や知人に対しても、標的型フィッシング、なりすまし、詐欺、ソーシャルエンジニアリングに正常に使用される可能性がある。第三者アクセスは制限され、監視され、役割、データ、システムの明確なインベントリに結びつけられる必要がある。これらの機密環境では、セキュリティは復旧の段階に至る前に、どのくらい迅速に検出と対応ができるかで継続的に測定される必要がある。」
