医療機器メーカーのMedtronicは、個人データが不正な第三者に流出したデータ漏洩について、影響を受けた顧客への通知を行っています。
同社は以前、自社のITシステムがハッカーによって侵害されたことを認めており、悪名高いデータ恐喝グループ「ShinyHunters」が犯行声明を出していました。
脅威アクターは、個人を特定できる情報(PII)や社内の企業データを含むMedtronicの900万件のレコードを保有していると主張していました。
「2026年4月15日、Medtronicは特定の企業ITシステムにおいて不審な活動を検知しました」と、同社の通知サンプルには記されています。
「Medtronicは、大手サードパーティのサイバーセキュリティ専門家の協力を得て、今回のインシデントの影響範囲と規模を特定するための調査を開始しました」
- 氏名(フルネーム)
- 連絡先情報
- 生年月日
- 社会保障番号
- 健康関連情報
ShinyHuntersは通常、被害組織との身代金交渉が支払いに至らなかった場合に、盗んだデータを公開する手口をとっています。
ハッカーたちは4月18日にMedtronicをダークウェブの恐喝ポータルに掲載し、4月21日までに身代金が支払われなければ、盗んだとされる900万件超のレコードを公開すると脅迫していました。
しかし、Medtronicの掲載はその後、同じ月のうちにShinyHuntersのリストから削除されました。顧客への通知の中でMedtronicは、盗まれたデータがオンライン上に公開されることはなかったと強調しています。
Medtronicは150カ国で事業を展開する医療機器企業で、年間売上高は335億ドル、従業員数は9万5000人に上ります。
同社は今回、顧客の機微な個人情報が流出するデータ漏洩に見舞われたものの、自社の医療機器はいずれも安全に使用でき、今回のサイバーセキュリティインシデントの影響は受けていないと改めて説明しています。
通知を受け取った顧客には、データ流出のリスクを軽減するため、提供される24カ月間のクレジットモニタリングおよびID盗難保護サービスへの登録が推奨されています。
また、流出したデータを悪用した詐欺やソーシャルエンジニアリング、フィッシングを狙う不審な連絡には常に警戒し、アカウントの活動状況を注意深く監視することも推奨されます。
攻撃者より先にすべてのレイヤーをテストする
セキュリティチームが検知できている攻撃の成功例は54%にとどまり、アラートが上がるのはわずか14%です。残りは環境内を検知されないまま通過しています。
PicusのホワイトペーパーはBreach and Attack Simulationが、SIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ仕組みを解説しています。