医療技術企業のiRhythm Holdingsは、サードパーティがホストする特定の業務アプリケーションへのサイバー攻撃を受け、患者の保護医療情報や独自データ、その他の個人データが窃取されたことを公表しました。
同社は2026年6月8日に不正なアクティビティを検知し、外部のサイバーセキュリティ専門家の支援を受けて調査を開始しました。
その翌日、脅威アクターが「独自データ、患者の保護医療情報、その他の個人情報を含む機密情報」を入手したと主張し、データを公開しないことと引き換えに金銭を要求しました。
データの流出を確認した後、iRhythmは6月10日、影響を受ける可能性のある情報量の多さを理由に、今回の事件が重大(マテリアル)であると判断しました。
同社は、影響を受けた可能性のある個人の人数、アクセスされた情報の種類、関与したサードパーティ製アプリケーションについて、いずれも明らかにしていません。
今回の事件はソーシャルエンジニアリング攻撃によるものとされており、侵害の範囲に関する調査は現在も続いています。
iRhythmによると、今回の事件は臨床・医療機器システム、製造・流通業務、財務報告システム、および患者ケアサービスには影響を与えなかったとしています。
「同社はサイバーセキュリティ保険を保有しており、今回の事件に関連する特定の損失を補償できる可能性がありますが、その補償が同社に生じる可能性のあるすべての損失をカバーするのに十分であるという保証はありません」と同社は付け加えています。
現時点では、既知のランサムウェアグループや恐喝グループによる犯行声明は出ていません。
ノボノルディスク侵害による臨床試験データの流出
この公表は、製薬大手ノボノルディスクが一部の臨床試験から患者データを複製されたことを明らかにしてから1週間も経たないうちに行われたもので、拡大するデータ窃取・恐喝インシデントの波に、また一つの医療機関が加わった形となりました。
オゼンピックやウェゴビーなどの体重管理薬で広く知られるノボノルディスクは、6月11日、攻撃者が限られた数の社内ITシステムへの不正アクセスに成功し、一部の臨床試験に参加している患者に関する情報を含む特定のデータを複製したことを公表しました。
流出したデータには患者ID、生年、性別、バイオマーカー、健康・免疫原性データ、生活習慣に関する情報が含まれていましたが、氏名やその他の直接的な識別情報は含まれていなかったとしています。
「流出したデータは仮名化されたものであるため、患者の身元を特定するには今回の事件には含まれない別の情報へのアクセスが必要です。したがって、今回の事件が患者に直接的なリスクをもたらすとは考えていません」と、ノボノルディスクは公式声明で述べています。
それでも同社は、患者に対して引き続き警戒を怠らず、今回の事件に関連していると思われる異常な活動があれば報告するよう呼びかけています。
この侵害については、Dragonflyと名乗る脅威グループが犯行声明を出しており、以下のデータを窃取したと主張しています。
- 学習済みモデルのチェックポイント16GB
- 独自の学習データセット407MB
modeling_novopert.pyおよびトレーニングパイプラインを含む完全なソースコード- 113回の学習実行ログ
- HPC、Slurm、SSH環境を網羅する社内インフラストラクチャマップ
- 53GB以上のコンテナイメージ
- 開発者の身元情報および社内ホスト名
- プライベートGitHubリポジトリのURL
ノボノルディスクはこれらの主張を公式に確認していません。
翻訳元: https://www.helpnetsecurity.com/2026/06/17/irhythm-data-breach-patient-health-information-stolen/
