セキュリティ
インスリンポンプなどの機器も製造する同社は、ShinyHuntersによる攻撃発生から数カ月後に、流出した情報の内容をユーザーに通知
医療機器大手のMedtronicは、4月に発生したサイバー攻撃によって患者の個人情報や健康情報が流出した可能性があると患者に警告しています。この攻撃では、侵入者が同社の企業ネットワークの一部に約1週間にわたって潜伏していました。
被害通知の書簡によると、同社は4月15日に不審な活動を検知し、その後の調査で、権限のない第三者が4月13日から4月19日にかけて特定の企業システムにアクセスしていたことが判明したとしています。
侵害を受けたシステムには、医療機器メーカーが患者について保有していると考えられる典型的なデータが含まれていました。氏名、連絡先、生年月日、社会保障番号、そして健康情報です。Medtronicによれば、これらの情報は製品アップデートの提供や規制要件への対応のために収集しているとのことです。
Medtronicは、この情報が「公開されたり、インターネット上に流出したりした証拠はない」としています。ただし、攻撃者がデータのコピーを持ち出したかどうかについては、まだ答えが出ていません。
今回の通知では、多くの患者がまず気にするであろう疑問、すなわち自分の医療機器が影響を受けたかどうかについても言及されています。同社は「調査の結果、今回のインシデントによってMedtronic製機器が安全に動作し、意図した治療を提供する能力に影響が及んだことはありません」と述べています。
Medtronicが4月にこのインシデントを最初に公表した際には、今回の攻撃が患者の安全、製造、流通、財務報告、あるいは患者のニーズに応える同社の能力に影響を及ぼしていないとしていました。また、企業のITネットワークは製品を支えるネットワークとは分離されており、病院顧客のネットワークも別途管理されていることを強調していました。
侵入が始まって間もなく、恐喝集団ShinyHuntersはダークウェブのリークサイトにMedtronicを追加し、900万件を超えるレコードを窃取したと主張。4月21日までに身代金が支払われなければデータを公開すると脅迫していました。この掲載は後に削除されています。
ShinyHuntersは通常、取引成立後に被害者をリークサイトから削除しており、Medtronicの掲載もその月のうちにデータが公開されることなく消えました。しかし、Medtronicの通知にはランサムウェア、恐喝要求、ShinyHuntersについての言及は一切なく、同社は今回の攻撃の犯人を公式には特定していません。
この被害通知では、影響を受けた人数や攻撃者の侵入経路、そして被害を受けた患者への通知開始になぜ2カ月以上もかかったのかなど、いくつかの明白な疑問も未解決のまま残されています。
Medtronicによれば、その後追加のセキュリティ対策を実施し、法執行機関や関連する規制当局と連携するとともに、影響を受けた個人に対して2年間の無料クレジットモニタリング、ダークウェブモニタリング、そして本人確認回復サービスを提供しているとのことです。®