TokyoBlackHatNews

databreachtoday.com 4分で読了

MedStar Health、データ窃取侵害について患者に通知

MedStar Health Notifying Patients of Data Theft Breach

メリーランド州、バージニア州およびワシントンD.C.で10の病院とその他300のケア拠点を運営するMedStar Healthは、機微情報に影響するデータ窃取事案について、人数未公表の患者に通知している。ランサムウェア集団Rhysidaは、ダークウェブのリークサイトで、MedStarから盗まれたデータ3.7テラバイトを保有していると主張しており、その中には「700万件超の患者の個人データ」が含まれるという。

MedStarは、同社ウェブサイトに掲載した侵害通知で、影響を受けた個人に対し12月3日から郵送で通知を開始したと述べた

通知によれば、「10月4日、外部の者が患者情報を含むMedStar Healthのシステムに不正アクセスしたサイバーセキュリティ事案を把握した」という。

MedStarは、直ちにシステムの確保に向けた措置を講じ、第三者のフォレンジック専門家の支援を受けて調査を開始し、法執行機関にも通報したと述べた。

「当社の調査により、MedStar Healthのシステムへの不正アクセスは9月12日から9月16日に発生したことが判明した。」

侵害されたファイルには、氏名、生年月日、社会保障番号のほか、診断、投薬、検査結果、画像、健康保険、治療情報など、患者ケアに関連する可能性のある情報が含まれていたとMedStarは述べた。

MedStar Healthは、この事案で社会保障番号または運転免許証番号が侵害された可能性のある患者に、無料の身元監視サービスを提供している。

法的問題

これまでのところ、MedStarはこのサイバー事案に関して、統合された連邦集団訴訟(提起案)に直面している。

12月15日に提出された修正訴状は、10月4日ごろ、「悪名高い」国際的ランサムウェア集団Rhysidaが、MedStarから患者データ700万件にアクセスし持ち出したとして公に犯行声明を出したと主張している

訴状によれば、同集団は「7日間のカウントダウンタイマーを掲示し、データは25ビットコインで入手可能だと示した」という。

木曜日時点でも、Rhysidaはダークウェブのリークサイトで、MedStarのデータ(「SQLデータベース、診断、医薬品など、さらに多数!」を含む)を保有していると主張している。

RhysidaはMedStarに関する投稿で、すべてのファイルは公開アクセスにアップロードしたとして、「データハンターよ、楽しめ」とリークサイト上で述べた。

統合訴訟は、金銭的損害賠償と、被告が保有し続ける個人情報を保護するため「適切なセキュリティ対策の実装を確実にする」差止救済を求めており、他の主張とともに、MedStarが集団構成員および原告のデータ保護を怠った過失があると主張している。

訴状は、「データ侵害の直接かつ相当因果関係のある結果として、原告および集団構成員は、現実かつ現在の損害を被った」とし、これには身元盗用犯罪、詐欺、詐欺的勧誘、その他の個人情報の悪用が継続的に脅威となっていることが含まれると主張している。

MedStarは、提起された集団訴訟、Rhysidaの主張、ならびに影響を受けた人数を含む侵害の追加詳細について、Information Security Media Groupからのコメント要請に直ちには応じなかった。

他のハッキング

2025年のMedStar Healthに対するサイバー攻撃は、同組織にとって初めてのランサムウェア被害ではない。2016年3月のランサムウェア攻撃では、マルウェアの拡散を防ぐため、MedStar Healthは多くのシステムを約1週間停止した(参照:サイバー攻撃後、MedStarがシステムを停止)。

木曜日時点で、MedStarはRhysidaのダークウェブ・リークサイトに掲載された少なくとも240の「被害者」とされる組織の一つとなっている。これらの「被害者」とされる組織の多くは、医療関連の事業体である。

その中には、カンザス州拠点のSunflower Medical Groupも含まれる。同社は最近、Rhysidaによる攻撃とされる事案で約25万6,000人の機微データが侵害されたとして提起された集団訴訟を、120万ドルで和解することに同意した(参照:医療グループ、データ窃取訴訟の和解で120万ドル支払いへ)。

また、デラウェア州のBayhealth Medical Centerも最近、2024年に発生し49万7,000人超に影響したRhysidaによる攻撃とされる事案に関する集団訴訟(提起案)を、250万ドルで和解することに同意した(参照:デラウェア州の医療システム、Rhysidaハッキング訴訟の和解を計画)。

2023年に表面化して以降、RaaS(サービスとしてのランサムウェア)集団Rhysidaについては、米連邦機関が複数の警告を発し、医療を含む各分野—教育、政府、IT、製造など—に対して同集団の攻撃に注意を促してきた(参照:当局、Rhysida集団による医療分野への攻撃を警告)。

翻訳元: https://www.databreachtoday.com/medstar-health-notifying-patients-data-theft-breach-a-30337

ソース: databreachtoday.com
#MedStar Health #Rhysida #ダークウェブ流出 #データ漏えい #ランサムウェア #個人情報保護 #医療機関サイバー攻撃 #患者情報流出 #身元監視サービス #集団訴訟

関連記事

Microsoftがランタイムセキュリティを強化

Google、防衛産業に対する「容赦ない」サイバー攻撃について警告

請求サービス企業が医療検査機関の患者にハッキング被害を通知