NYC Health + Hospitals(NYC H+H)はデータ侵害通知を掲載しました。数ヶ月にわたるサードパーティベンダーを経由した侵害により、医療記録、政府ID、地理的位置情報データ、および指紋と手のひら紋生体認証を含む、少なくとも180万人の患者および従業員の極めて機密性の高いデータが公開されました。
NYC H+Hは2026年2月2日に不正なアクティビティを検出し、後に認可されていないアクターが2025年11月下旬から2026年2月までおよそネットワークの一部にアクセスしていたことを確認しました。
この期間中、攻撃者は個人情報、医療情報、財務情報、および生体認証情報を含むファイルをコピーしました。この事件は米国保健福祉省に報告されました(HHS)2026年3月24日に報告され、現在少なくとも180万人の個人に影響を与えており、2026年のこれまでで最大のヘルスケア侵害の一つです。
NYC H+Hは、その侵害をアクセス権を持つ名前のないサードパーティベンダーの侵害に起因すると述べています。これは、ベンダーが攻撃者がクライアントのシステムやデータにアクセスするためのエントリーポイントになるサプライチェーン侵害の現在のパターンに適合しています。
このような事件は、深く個人的な健康データが長期的な詐欺、ストーカーウェアのような悪用、および永続的なプライバシー喪失にどのように燃料を供給できるかの教科書的な例です。
あなたの個人データが公開されているかどうかを確認してください。
データの種類
NYC H+Hの通知および関連する記事によると、公開されたデータセットは異常に広く詳細です。
データを3つの異なるレイヤーに分けることができます:
- 他の流出データセットと組み合わせることができる古典的なPII:フルネームと連絡先詳細。社会保障番号、運転免許証とパスポート番号、その他の政府ID番号、納税者ID、IRS身元保護PINを含む政府発行の識別子。侵害はまた、請求と支払い記録、および銀行とカードデータを公開しました。これらは直接的な経済的盗難と非常に説得力のあるソーシャルエンジニアリングに使用できます。
- 医療および保険データ:詳細な診断、薬物リスト、および検査結果は、人々が雇用者、家族、または保険会社から秘密にしている可能性がある状態を公開し、恐喝、ターゲット詐欺、および差別を可能にします。保険および請求データは、不正請求を提出したり、払い戻しをリダイレクトしたり、医療システムの既存のアイデンティティになりすましたりするために悪用される可能性があります。
- 生体認証:これらは医療歴と同じくらい機密です。生涯にわたってあなたと一緒にいるからです。消去または置き換えが容易ではありません。一度侵害されると、大規模な生体認証データベースは、それらを信頼できる識別子として依存している人にとって長期的な責任になります。
残念ながら、これはより広いパターンの一部です。FBIのインターネット犯罪苦情センター(IC3)のレポートによると、医療は2025年のランサムウェアの最もターゲットとなった重要インフラセクターであり、460件のランサムウェア事件と182件の報告されたヘルスケアデータ侵害がありました。
Change Healthcareランサムウェア攻撃だけで、190万人を超えるアメリカ人の医療および請求データが公開されました。これは、単一のヘルスケア仲介者がいかに全体システムを混乱させることができるかを強調しています。
あなたが関わっている場合の対処法
NYC Health + Hospitalsと相互作用している場合、個人情報が影響を受ける可能性があります。
NYC Health + Hospitalsは、NYC Health + Hospitalsで働いたか患者だったすべての個人に対して、24ヶ月間無料で、クレジット監視を含むアイデンティティ盗難防止および軽減サービスをKroll Information Assurance、LLCを通じて利用可能にしています。詳細についてはデータ侵害通知を確認してください。
データ侵害の影響を受けていると考えられる場合、自分を保護するために取ることができるいくつかのステップがあります:
- 会社のアドバイスを確認してください。 すべての侵害は異なるため、会社に確認して何が起こったかを見つけ、提供される具体的なアドバイスに従ってください。
- パスワードを変更してください。 盗まれたパスワードを変更することで、泥棒にとって無用にすることができます。他の何にも使用しない強力なパスワードを選択してください。さらに良いことに、パスワードマネージャーにあなたのために選択させてください。
- 2要素認証(2FA)を有効にしてください。 可能な場合は、FIDO2準拠のハードウェアキー、ラップトップ、またはスマートフォンを2番目の要素として使用してください。一部の2FAのフォームはパスワードと同じくらい簡単にフィッシングされる可能性がありますが、FIDO2デバイスに依存する2FAはフィッシングされることはできません。
- 詐欺師に注意してください。 犯罪者は侵害されたプラットフォームになりすまして連絡することができます。公式ウェブサイトをチェックして、被害者に連絡しているかどうかを確認し、別の通信チャネルを使用してあなたに連絡する誰かのアイデンティティを確認してください。
- 時間をかけてください。 フィッシング攻撃は、あなたが知っている人またはブランドになりすましていることが多く、逃した配達、アカウント一時停止、セキュリティアラートなどの緊急の注意が必要なテーマを使用しています。
- カード情報を保存しないことを検討してください。サイトがカード情報を記憶できるようにする方がはるかに便利ですが、小売業者が侵害を受ける場合はリスクが増加します。
- アイデンティティモニタリングをセットアップします。これは、個人情報がオンラインで違法に取引されているのが見つかった場合と、その後の回復を支援します。
認めましょう。シークレットウィンドウはこれ以上のことはできません。
侵害、ダークウェブ取引、クレジット詐欺。Malwarebytes Identity Theft Protection はこれらすべてを監視し、迅速にアラートを出し、アイデンティティ盗難保険が付属しています。
