医療請求会社エピソースで発生したデータ漏洩により、米国全土で540万人以上の個人情報および健康情報が流出しました。
この漏洩は2025年2月6日に発覚し、サイバー犯罪者が機密データを含むファイルにアクセスし、コピーできる状態になっていました。社内調査の結果、攻撃者は1月27日から2月6日までの約10日間、同社のシステム内に滞在していたことが判明しました。エピソースはさらなる侵入を防ぐためにシステムを一時的に停止し、法執行機関に通報しました。
漏洩したデータは個人によって異なりますが、氏名、住所、電話番号、メールアドレスが含まれています。多くの場合、社会保障番号、生年月日、保険証情報、メディケイドおよびメディケアの詳細、診断名、処方薬、検査結果、治療記録などの保護された健康情報(PHI)も含まれていました。
「この漏洩は、脅威アクターが病院やクリニックからサードパーティプロバイダーに標的を移していることを示しています。なぜなら、この方法で一度に大量のPHIにアクセスできるからです」とPathlockのCEO、ピユシュ・パンディ氏は述べています。
「一度このようなデータが手に渡れば、攻撃者は今後何年にもわたり、極めて個人化された詐欺や恐喝に悪用することができます。」
医療サイバーセキュリティにおけるサードパーティリスクについてさらに読む:債権回収業者のデータ漏洩でハービン・クリニックの患者20万人が被害
エピソースによると、以下の種類のデータが漏洩した可能性があります:
-
氏名、電話番号、メールアドレス、住所
-
生年月日、および場合によっては社会保障番号
-
健康保険の詳細(加入者および保険証番号を含む)
-
医療データ(診断名、処方薬、画像診断など)
-
メディケイドおよびメディケアの識別番号
エピソースは、ユナイテッドヘルス・グループの子会社であるOptumが所有しており、保険会社、医師、病院にコーディングおよびリスク調整サービスを提供しています。
エピソースのパートナーの一つであるSharp Healthcareは、この漏洩がランサムウェアによるものであることを認めました。
「このインシデントは、ネットワーク内での不正な横移動を防ぐ必要性を改めて浮き彫りにしています」とColorTokensのSVP、グル・グルシャンカール氏は述べています。
「組織は侵害に備える必要があります。これは生き残るために不可欠です。」
BeyondTrustのフィールドCTO、ジェームズ・モード氏は次のように強調しています。「このエコシステム内のあらゆるデバイスや外部接続が、攻撃者にとって潜在的な侵入口となっています。この脆弱性とアクセスの有害な組み合わせこそが、医療分野が魅力的な標的となっている理由の典型例です。」
リスク軽減のため、エピソースは無料の身元保護およびクレジット監視サービスを提供しています。しかし、この漏洩はより広範な懸念を呼んでいます。
「この規模の漏洩は、医療サプライチェーンのすべての組織に対してコンプライアンスリスクとより厳格な規制監視をもたらします」とパンディ氏は指摘しています。
「特権的なリモートアクセス戦略を導入することで、感染の一般的な侵入口を排除し、サイバー・レジリエンスを構築し、患者の健康に集中することができます」とモード氏は付け加えました。
翻訳元: https://www.infosecurity-magazine.com/news/54-million-affected-episource/