サウスフロリダ・インジャリーセンターズがハッキング被害を報告し、チカソー・ネーション保健局では従業員による患者データへの不正アクセスが発覚しました。
サウスフロリダ・インジャリーセンターズ
タマラックとポートセントルーシーに拠点を持ち、交通事故傷害患者の治療を専門とする医療機関、サウスフロリダ・インジャリーセンターズ(South Florida Injury Centers, Inc.)は、最大1,525人の患者に影響するハッキングに関連したデータ侵害をHHS(米国保健福祉省)の公民権局(Office for Civil Rights)に報告しました。
インシデントの詳細はほとんど公表されていませんが、今回の事案は脅威アクター「Kairos」によるサイバー攻撃とみられています。Kairosは金銭目的の脅威グループで、ネットワークへの侵入、データの窃取、そして流出データの公開をちらつかせた恐喝を行うことで知られています。同グループは複数の医療機関に対して攻撃を仕掛けており、サウスフロリダ・インジャリーセンターズから45GBのデータを窃取したと主張しています。
サウスフロリダ・インジャリーセンターズは2026年4月7日にKairosのダークウェブ上のデータ漏洩サイトに掲載され、窃取データのサンプルも公開されました。そのサンプルには、氏名、連絡先情報、運転免許証番号、社会保障番号、病歴といった患者情報が(一部墨消しされた状態で)含まれているとみられています。その後Kairosは窃取データを全面公開しており、身代金の支払いが行われなかったことがうかがえます。
チカソー・ネーション保健局(オクラホマ州)
オクラホマ州のチカソー・ネーション保健局(Chickasaw Nation Department of Health)は、2026年4月22日に内部関係者による患者プライバシー侵害を初めて確認しました。患者記録への不正アクセスが判明した直後に調査が開始され、さらなる不正アクセスを防ぐための措置が速やかに講じられました。
アクセスログの精査により、今回のプライバシー侵害は単一の従業員の行為によるものであることが確認されました。当該従業員は、2025年12月1日から2026年4月22日の間に、患者記録へ無断でアクセスしていたとされています。この期間中に不正アクセスされた可能性のある患者記録は1,607件にのぼります。
閲覧されたとみられる情報には、患者の氏名、年齢、受診日、部族所属、受診理由、および検査・放射線オーダーなどの臨床情報が含まれています。社会保障番号の全桁が閲覧された証拠は見つかっていないとのことです。なお、同局のウェブサイトに掲載されたプライバシー侵害に関する通知では、当該従業員に対して取られた処分については言及されていません。
翻訳元: https://www.hipaajournal.com/south-florida-injury-centers-chackasaw-bation-doh-data-breach/
