心臓モニタリングサービスを提供するiRhythmが、データ窃取と恐喝被害に遭いました。
米証券取引委員会(SEC)への届出によると、iRhythmは6月9日に何者かから連絡を受けたと明らかにしました。その人物は、独自データ、患者の保護医療情報(PHI)、その他の個人情報を含む機密情報を盗んだと主張し、データを公開しない代わりに金銭を要求したとのことです。
iRhythmは携帯型心臓モニタリング・分析サービス(Zioパッチなど)を提供しており、1,200万人以上の患者から20億時間を超える心拍データを処理してきたと報告されています。
SECへの届出の中で同社は、データはソーシャルエンジニアリングを通じて取得されたものであり、「特定のサードパーティーがホスティングするビジネスアプリケーション」から流出したと説明しています。ただし、データの規模についての詳細は開示していません。
iRhythm自身のウェブサイトでも、盗まれたデータの詳細についてはほとんど開示されていませんが、財務データへの影響はなかったことを示唆する記述が見られます。
「当社の製品、臨床・医療機器システム、顧客との接続、製造・流通業務、患者の安全、および患者ニーズへの対応能力に影響は確認されていません。また、当社は個人の金融口座情報やクレジットカード情報の保存・保持を行っていません。
現在鋭意調査を進めており、本インシデントの影響を受けた方々に対しては、適用法令に従って通知を行うとともに、必要な保護・被害軽減措置を講じてまいります。」
ただし、SECへの届出ではiRhythmが「影響を受けた可能性のあるデータの量を踏まえ」、本インシデントは重大であると判断したと記されています。恐喝者が患者の医療データを保有しているとも主張していることから、iRhythmのサービスを利用したことがある方にとっては、見過ごせない事案といえます。
支払いデータが含まれていない場合でも、医療機関への不正アクセスは深刻な二次被害をもたらします。
- 攻撃者は特定の処置やモニタリングの記録(例:「最近のZioパッチの記録について」)を引用した巧妙なメール・テキスト・電話を用い、患者から追加情報を詐取したり偽の請求書を支払わせようとする可能性があります。
- 流出したデータは、なりすまし、保険詐欺、医療IDの不正利用に悪用される恐れがあります。
- 心臓疾患やその他の健康情報の露出は極めてセンシティブであり、データが公開されたりデータブローカーに販売された場合、雇用や保険に関わる影響が生じる可能性があります。
医療機関の情報漏えいデータは何年にもわたって流通し続けることが多く、ニュースの話題が落ち着いた後も、被害者は断続的な詐欺やフィッシング被害に遭うリスクがあります。
身を守るための対策
iRhythmのサービスを利用したことがある方は、iRhythmや医療機関から送られてくる公式の情報漏えい通知について、郵便・メール・患者ポータルを注意して確認してください。
米国では、一定の基準を満たす保護医療情報の漏えいは、患者および規制当局への報告が義務付けられています。iRhythmは「適用法令に従って影響を受けた方々に通知し、必要な保護・被害軽減措置を講じる」と約束しています。
フィッシングや詐欺の被害を防ぐために、以下の点に注意してください。
- 情報漏えいに関する連絡を受け取った場合は、別の手段で本当にiRhythmからの連絡かどうかを確認してください。iRhythmの公式ウェブサイトや患者ポータルに直接アクセスするか、既知の電話番号に電話して真偽を確かめましょう。
- 本インシデントに関連して補償・返金・その他の金銭的対応を申し出るメールやテキストメッセージには、特に注意が必要です。
- iRhythmに紐づいたポータルや、循環器科・病院の患者ポータルのパスワードを変更してください。他のサービスで同じパスワードを使い回していた場合は、とりわけ重要です。
- 健康保険のポータルにログインし、請求内容を定期的に確認してください。
- 不審な点を発見した場合は、すぐに保険会社および医療機関に報告し、なりすまし被害の可能性としてアカウントにフラグを立てるよう依頼してください。
- 電話口の相手があなたの個人情報を知っていたとしても、それは盗まれたデータから得た情報である可能性があります。電話で個人情報や財務情報を提供しないでください。
プライベートウィンドウでできることには、限界があります。
情報漏えい、ダークウェブでの売買、クレジット詐欺。Malwarebytes Identity Theft Protectionはこれらすべてを監視し、迅速にアラートを通知します。さらに、なりすまし被害に対する保険も付帯しています。
