法律事務所GrayRobinsonへのサイバー攻撃により、6万5,000人が被害を受けました。また、ミズーリ州のC2N DiagnosticsとコロラドのVirta Healthもデータ侵害を発表しています。
GrayRobinson
フロリダ州オーランドに拠点を置く法律事務所GrayRobinson, P.A.は、メイン州居住者52人を含む65,113人に影響するデータ侵害をメイン州司法長官に報告しました。被害者のうち54,131人の保護医療情報が今回のインシデントで流出しています。同社が公表した代替データ侵害通知によると、2025年3月24日頃にネットワークへの不正アクセスが検知されたとのことです。同社はただちにネットワークの保護措置を講じ、第三者のサイバーセキュリティ専門家の支援のもと、機密情報への侵害範囲を特定するための調査を実施しました。
調査の結果、2025年3月5日から2025年3月24日の間に不正な第三者がネットワークにアクセスし、個人情報および保護医療情報を含むファイルが外部に持ち出されたことが確認されました。その後データの精査が進められ、2026年4月13日にファイルレビューが完了。氏名、生年月日、社会保障番号、運転免許証番号、州・政府発行のID番号、金融口座情報、医療情報、健康保険情報が含まれていたことが判明しました。
GrayRobinsonは、システムおよびデータへの不正アクセスを防ぐために多くの予防措置を講じており、セキュリティ強化と機密情報のプライバシー確保に向けて、取り組みや内部統制を継続的に見直し・改善していると説明しています。無料のクレジットモニタリングおよびID盗難保護サービスも提供されており、影響を受けた個人への通知書は2026年4月24日から発送が開始されました。
C2N Diagnostics(ミズーリ州)
ミズーリ州セントルイスに本社を置き、脳の健康に関する検査サービスおよび製品を提供する専門診断企業C2N Diagnosticsは、2026年3月6日に確認されたサイバーセキュリティインシデントを開示しました。同社によると、サイバー犯罪者の標的となり、保存されていた少数の従業員コミュニケーション記録に不正アクセスが行われ、その一部に個人情報が含まれていたとのことです。
データの調査の結果、氏名、生年月日、連絡先情報、健康情報、血液検査結果、健康保険情報、社会保障番号が含まれていることが判明しました。影響を受けた個人には郵便で通知が送られており、データの悪用に備えた予防措置として少なくとも12か月間の無料クレジットモニタリングおよびID盗難保護サービスが提供されています。通知書の発送時点では、C2N Diagnosticsは流出データの悪用事例を把握していませんでした。同社は2026年4月27日、保健福祉省(HHS)公民権局に対し、2,027人に影響するデータ侵害として報告を行いました。
Virta Health
コロラド州デンバーに本社を置き、2型糖尿病・前糖尿病・肥満の管理を支援するデジタルヘルスサービスを提供するVirta Health Corp & Virta Medical PCは、データリポジトリの一つへの不正アクセスを確認しました。不正アクセスは2026年3月24日に発見され、調査の結果、2026年3月19日から2026年3月22日の間に不正アクセスがあったことが確認されています。
当該データリポジトリは現行の本番プラットフォームとは別のもので、個人情報が含まれていましたが、その詳細はデータ侵害通知には記載されていませんでした。Virta Healthは、調査によりデータが流出したことが確認され、「不明なアクターが個人情報にアクセスした可能性を排除できない」と述べています。脅威グループLapsus$は攻撃への関与を主張し、侵害が検知される1日前の2026年3月23日にVirta Healthをデータリークサイトに掲載しました。身代金の支払いが行われたかどうか、また何人が影響を受けたかは現時点では明らかになっていません。
翻訳元: https://www.hipaajournal.com/grayrobinson-c2n-diagnostics-virta-health-data-breach/
