AdaptHealth、重大なサイバーセキュリティインシデントと患者データ窃取を報告

在宅医療機器や糖尿病関連用品、睡眠時無呼吸治療製品を提供する上場ヘルスケア企業のAdaptHealthは、患者データへの不正アクセスを伴う重大なサイバーセキュリティインシデントを調査中であることを、米証券取引委員会(SEC)に報告しました。

同社のForm 8-K提出書類によると、2026年6月15日に脅威アクターから同社に連絡があり、患者データを含むファイルを入手したと主張していたということです。AdaptHealthは調査を開始し、サードパーティのサイバーセキュリティ専門家を起用するとともに、法執行機関にも通報しました。同社はその後、内部の患者管理システムや文書保管プラットフォームを含む複数のクラウドベース業務アプリケーションに、脅威アクターがアクセスしていたことを確認しています。脅威アクターは、患者の個人識別情報(PII)や保護対象保健情報(PHI)を含むファイルを窃取していました。

調査は現在も継続中ですが、AdaptHealthはこれまでのところ、サードパーティ契約業者を狙ったソーシャルエンジニアリング攻撃への対応をきっかけに不正アクセスが発生し、その結果、契約業者の認証情報が窃取されたと判断しています。脅威アクターは、保険請求業務に関連して保存されていたパスワードファイルと、外部の電子カルテ(EHR)ポータルへのアクセス権を入手していました。

影響を受けたアカウントはすでに無効化され、認証情報もリセット済みで、追加のアクセス制御も導入されています。今回のインシデントによる事業運営や患者サービスへの影響は生じていないとしていますが、データ窃取の範囲を特定するための調査は現在も続いています。関与したデータの種類はまだ判明しておらず、影響を受けた個人の人数も現時点では不明です。AdaptHealthによると、同社は患者の社会保障番号を収集しておらず、金融口座情報やクレジットカード情報も、侵害されたシステムには保存されていないとのことです。

AdaptHealthは、危険にさらされたデータの性質と潜在的な件数の多さから、今回のインシデントを重大なサイバーセキュリティインシデントに該当すると判断しています。財務的な影響については現在も評価中で、フォレンジック調査、侵害通知、法務・規制対応、および各種是正措置に関連する費用を同社が負担する可能性もあります。同社はサイバーセキュリティ保険にも加入しており、今回のインシデントに関連する損失の一部がカバーされる可能性があります。

AdaptHealthは攻撃の実行者を明らかにしていませんが、今回の件はShinyHuntersという脅威グループによるデータ窃取・恐喝の試みとみられています。ShinyHuntersはAdaptHealthを自らのデータリークサイトに追加し、身代金が支払われない場合は窃取したデータを公開すると脅迫しており、同社に対して支払うかデータ流出に直面するかの最終警告を突きつけています。

翻訳元: https://www.hipaajournal.com/adapthealth-data-breach/

ソース: hipaajournal.com