ウェアラブル心臓モニタリング技術を専門とするヘルスケア企業iRhythmが、情報窃取を伴うサイバー攻撃の標的となりました。
このデータ侵害は、ウェアラブルECGモニター「Zio」で知られるiRhythmが月曜日にSECへ提出した書類の中で開示されました。
同社は6月8日、「第三者がホスティングする特定の業務アプリケーション上のデータに関わる不正なアクティビティ」を検知したと説明しています。iRhythmによれば、この攻撃にはソーシャルエンジニアリングが用いられたとのことですが、標的となったアプリケーションは公表されていません。
6月9日には脅威アクターが同社に接触し、独自データや患者の保護された医療情報(PHI)を含む機密情報を窃取したと主張しました。ハッカーたちは、流出したファイルを公開しないことと引き換えに身代金を要求しています。
iRhythmは外部のサイバーセキュリティ専門家と連携して侵害の調査を進めており、一部のデータが窃取されたことは確認していますが、侵害されたデータに関する脅威アクターの主張の正確性については明言を避けています。
同社は現在も、影響を受けた個人の人数や、窃取されたデータの種類・量の特定に取り組んでいます。
製品・臨床システム・医療機器システム、製造・流通業務、患者の安全、財務報告システムへの影響はないと同社は述べています。
「本インシデントは、当社の臨床システムや医療機器システム、顧客との接続には関与しておらず、当社は個人の金融口座情報やペイメントカード情報を保存・保持していない」と、同社はSECへの提出書類の中で述べています。
現時点では、iRhythmへの攻撃への関与を表明している既知のランサムウェアグループや恐喝グループは確認されていません。
同社が身代金の支払いに応じたか、またはハッカーと交渉を行っているかどうかは不明です。
SecurityWeekはiRhythmに追加情報を問い合わせており、返答があり次第、本記事を更新する予定です。
翻訳元: https://www.securityweek.com/irhythm-confirms-data-stolen-in-hack/
