サイバー犯罪
攻撃者はソーシャルエンジニアリングを駆使してサードパーティ製ビジネスアプリにアクセスし、患者情報を窃取
心臓モニタリング企業のiRhythmは、窃盗犯が患者の健康情報を持ち出し、それを金銭に換えようとしたと発表しました。
カリフォルニア州に本拠を置く同社は、ウェアラブルデバイスでデータを収集し、心臓の健康状態に関するレポートを生成するサービスを顧客に提供する心臓モニタリングの専門企業です。同社は6月8日に不正なアクティビティを検知し、サードパーティのサイバーセキュリティ専門家の協力を得て調査を開始しました。その翌日には、サイバー犯罪者から、同社の独自データ、保護対象医療情報(PHI)、その他の個人情報を含む機密情報を入手したと主張するメッセージが届きました。
米証券取引委員会(SEC)へのiRhythmの届出によると、攻撃者は盗んだデータを公開しない代わりに金銭を要求しました。同社はデータが外部に持ち出されたことを確認し、6月10日には影響を受ける可能性のある情報量の多さから、本インシデントが重要事項に該当すると判断しました。
恐喝要求とデータ流出の事実は開示されましたが、交渉の有無については一切言及されていません。
iRhythmは届出の多くの部分を、攻撃者が取得できなかった情報の説明に充てています。同社によれば、侵入はビジネスアプリケーションに限定されており、臨床システム、医療機器、または顧客との接続には到達しなかったとのことです。患者ケアおよび日常業務への影響もなかったとしています。
同社はまだ、影響を受ける可能性のある個人の人数、アクセスされたデータの内容、侵害に関与したサードパーティホスト型アプリケーションの詳細を開示していません。攻撃の背後にある脅威アクターも特定されておらず、The Regの調査でも主要なランサムウェアグループが関与を主張している証拠は見つかっていません。
届出によれば、攻撃者はソーシャルエンジニアリングを通じてアクセスを得たとされています。具体的な手口は不明ですが、フィッシングキャンペーン、ヘルプデスクへのなりすまし詐欺、その他の技術的防御を回避するための人間を標的とした侵入手法への対応を迫られる医療機関は増加の一途をたどっています。
届出日時点で、iRhythmはシステムへの継続的な不正アクセスは確認されておらず、本インシデントが財務状況や業績に重大な影響を与える可能性は低いと判断していると述べています。また、今回の侵害に関連する損失の一部をカバーできる可能性のあるサイバー保険に加入していることも明らかにしました。
iRhythmの開示は、製薬大手Novo Nordiskが一部の臨床試験から患者データがコピーされたと公表してから1週間も経たないタイミングで行われたものです。データ窃盗と恐喝の被害に遭う医療機関のリストに、また一つ名前が加わることになりました。®
