デジタルヘルスケア企業のiRhythm Holdingsは、ハッカーがサードパーティ運用のビジネスアプリケーションに保存されていた患者の個人情報および医療情報を窃取したとして、データ侵害を公表しました。
同社の心臓モニタリングサービスはこれまでに、1,200万人以上の患者から収集した20億時間超の心拍データを分析しています。
iRhythmは月曜日に米国証券取引委員会(SEC)へ提出した届出の中で、この事案を前日に発見したと説明しました。発見後は直ちに外部のサイバーセキュリティ専門家とともに調査を開始し、被害の封じ込めに向けてサイバーセキュリティ対応計画を発動したとしています。
また、攻撃者は1週間前の6月9日に接触してきており、窃取した医療情報をオンラインで公開しないことを条件に身代金を要求したと付け加えました。ただし、同社は特定の脅威アクターや恐喝グループとの関連については言及していません。
「2026年6月9日、当社は脅威アクターを名乗る者から、独自データ、患者の保護された医療情報、その他の個人情報を含む機密情報を入手したと主張する連絡を受けました。この脅威アクターからの連絡は、当該情報を公開しないことと引き換えに金銭を要求するものでした」とiRhythmは述べています。
「連絡受領後、当社は当該アプリケーションから一定のデータが外部に持ち出されたことを確認しました。2026年6月10日、当社は影響を受けた可能性のあるデータの規模に鑑み、本事案が重要事項に該当すると判断しました。」
同社はまた、「製品、臨床システム・医療機器システム、患者の安全、製造・流通オペレーション、財務報告システム」への影響を示す証拠はないと説明しており、脅威アクターはソーシャルエンジニアリングを通じてデータにアクセスしたとしています。
iRhythmは、患者の決済カード情報や金融口座情報は保有しておらず、今回の侵害は同社の臨床システムや医療機器システムには関係しないと補足しました。
BleepingComputerはiRhythmの広報担当者に対し、個人情報・患者データが流出した被害者数を含む詳細について問い合わせましたが、記事執筆時点で回答は得られていません。
デンマークの製薬大手で世界最大のインスリンメーカーであるNovo Nordiskも先週、内部ITシステムが侵害された事案で一部の臨床試験から患者情報が盗まれたとして、データ侵害を公表しました。
攻撃者より先に全レイヤーをテスト
セキュリティチームが検知できる攻撃成功は54%、アラートを発するのはわずか14%です。残りの脅威は環境内を検知されることなく動き回っています。
PicusのホワイトペーパーでBAS(侵害・攻撃シミュレーション)を使ったSIEMおよびEDRルールのテスト手法を解説しています。脅威の検知漏れを防ぐためにぜひご活用ください。
