AdaptHealth、攻撃者が巧妙な話術でクラウドシステムに侵入し患者データを窃取したと発表

セキュリティ

サードパーティ委託先の侵害により、医療情報と保険請求用パスワードが流出

医療機器関連企業のAdaptHealthは、攻撃者がソーシャルエンジニアリングの手口を使って同社のシステムに侵入し、保険請求に関連するパスワードを含む機微な患者データを窃取したと発表しました。

同社は木曜日、米証券取引委員会(SEC)に対してこの攻撃を開示し、攻撃者が社内の患者管理システム、文書保管プラットフォーム、および外部の電子カルテ(EHR)システムのポータルにアクセスしたと説明しています。

この攻撃は、事情を知らないサードパーティ委託先を標的にしたもので、サイバー犯罪者はこの委託先を足がかりに同社のクラウド環境へ侵入し、機微なデータを保持するビジネスアプリケーションにアクセスしました。

AdaptHealthは、攻撃者が6月15日に同社に接触し窃取の事実を通告してきた直後、インシデント対応プロトコルを発動しました。

同社は恐喝要求があったかどうか、またあった場合に支払いを行ったかどうかについては明らかにしておらず、本稿執筆時点でどのサイバー犯罪集団も犯行声明を出していません。

同社の対応としては、当該委託先のユーザーアカウントの無効化、認証情報のリセット、追加のアクセス制御の実施などが挙げられます。同社は現時点で攻撃は封じ込められたとみています。

AdaptHealthは、「保険請求に関連するパスワードファイル」に加え、一部患者の個人識別情報(PII)および保護対象保健情報(PHI)も窃取されたことを確認しています。

社会保障番号や決済情報は影響を受けていないとみられています。

AdaptHealthは6月27日、「危険にさらされているデータの性質および想定される件数を踏まえ」、この攻撃は重大なものとみなされ、SECへの開示が必要と判断しました。

同社は攻撃の正確な規模や関連するデータ窃取の詳細についてはコメントしていませんが、侵害の範囲を特定するための調査は継続中だとしています。

また同社は、「流出したデータの拡散リスクを軽減することを意図した対策をすでに講じている」とも述べています。

The Registerは、恐喝要求を受け取ったかどうか、また窃取されたデータの流布や悪用のリスクを減らすためにどのような対策を講じたかを含め、詳細情報の提供をAdaptHealthに求めました。

ペンシルベニア州に拠点を置くAdaptHealthは、慢性疾患や重篤な疾患を抱える患者向けに在宅医療機器と関連サービスを提供しています。

2012年に設立された同社は、呼吸器、睡眠、糖尿病関連の治療を専門としています。2024年の年次報告書によると、同社は米国全50州で420万人を超える患者にサービスを提供しています。®

翻訳元: https://www.theregister.com/security/2026/07/03/adapthealth-crooks-stole-our-passwords-patient-health-data/5266512

ソース: theregister.com