上場企業である心臓モニタリング機器メーカーのiRhythm Holdings Inc.は、2026年6月8日に最初に確認されたサイバーセキュリティインシデントについて、米国証券取引委員会(SEC)に通知しました。
SECへの提出書類によると、iRhythmはサードパーティのプラットフォームにホストされている特定のビジネスアプリケーションへの不正アクセスを確認しました。同社はサイバーセキュリティインシデント対応計画を発動し、不正活動の性質と範囲を特定するための調査を開始しました。不正アクセスが確認された翌日の2026年6月9日、同社は脅威アクターからの連絡を受けました。その脅威アクターは、アプリケーションから機密データを窃取したと主張し、データの公開を防ぐために支払いを要求しました。
カリフォルニア州サンフランシスコに本社を置くiRhythmは、米国およびヨーロッパの約800万人の患者が使用する心臓モニタリング機器と、心臓不整脈の患者を診断・追跡するためのクラウドベースのデータ分析サービスを提供しています。脅威アクターは、iRhythmのアプリケーションから独自データおよび患者データを窃取したと主張しています。
社内調査により、脅威アクターが個人情報や保護された医療情報を含む機密データを窃取していたことが確認されました。インシデントによって影響を受けた個人の数はiRhythmによってまだ確認されていませんが、同社はForm 8-K提出書類の中で、攻撃で窃取された可能性のあるデータの量を踏まえ、これは重大なインシデントであると述べています。
iRhythmは、このインシデントによる製品、臨床システム、または医療機器システムへの影響は確認されていないとしています。また、患者の安全性、製造、流通業務、財務報告システム、および患者のニーズに対応する同社の能力にも影響はなかったとしています。
脅威アクターはソーシャルエンジニアリングを通じて、サードパーティがホストする特定のビジネスアプリケーションへのアクセスを獲得しました。同社の医療機器システムおよび顧客との接続は影響を受けておらず、同社は個人の金融口座情報やクレジットカード情報を保持していません。iRhythmはデータ侵害の調査を継続しており、影響を受けた個人の数やインシデントで侵害されたデータの種類についてはまだ発表していません。
SEC提出書類には、攻撃者への支払いが行われたかどうか、または支払いの交渉中かどうかについての記載はありません。これは重大なサイバーセキュリティインシデントでしたが、同社はその財務状況や業績に重大な影響を与えるとは考えていません。ただし、この攻撃がブランド、評判、および同社製品に対する患者の信頼に重大な損害をもたらす可能性があると同社は警告しています。同社はサイバー保険契約を保有しており、インシデントの結果として生じた特定の損失をカバーする可能性があります。
近年、医療機器メーカーによるサイバー攻撃の報告が相次いでいます。2026年2月にはUFP Technologiesが企業データの窃取または破壊を伴うインシデントを報告し、3月にはStrykerが約50テラバイトのデータ流出被害を受けました。また、Medtronicも3月に約900万件の患者記録が関係する大規模なデータ窃取インシデントを経験しています。
翻訳元: https://www.hipaajournal.com/irhythm-data-breach/
