バージニア州アルベマール郡の当局は、2025年6月のランサムウェア攻撃により、保護対象保健情報(PHI)を含む機微なデータが侵害されたことを確認しました。この攻撃は2025年6月10日に開始され、翌日、職員がネットワーク上の一部ファイルにアクセスできなくなったことで検知されました。州および連邦の法執行機関に通報し、調査支援とデータ侵害の範囲特定のために第三者のサイバーセキュリティ専門家が起用されました。2025年7月15日、調査により、同郡の自家保険の健康保険プラン加入者のPHIがこの攻撃で侵害されたことが確認されました。
侵害されたPHIは個人によって異なり、氏名、メールアドレス、自宅住所、電話番号、生年月日、社会保障番号、従業員/ユーザーID番号、医療ID番号、アカウント/患者ID番号、健康情報、受診日、請求および保険金請求情報、医療提供者名、受けた医療に関する請求書番号、健康保険情報などが含まれていた可能性があります。
さらに、現職および元職の政府職員と公立学校職員のデータ、ならびにその扶養家族に関する情報も侵害されました。影響を受けた職員情報には、氏名、住所、社会保障番号、運転免許証番号、パスポート番号、軍人ID番号、州発行IDカード番号が含まれていました。郡と取引のあった個人、または郡にサービスを申請した/受けた個人も影響を受けました。
調査およびファイルレビューは最近完了し、影響を受けた個人に通知書が郵送されています。念のため、影響を受けた個人には12か月間の無料のクレジットモニタリングおよび身元盗難保護サービスが提供されています。データ侵害の調査のためにサイバーセキュリティ専門家を起用したことに加え、HIPAA規則への完全準拠を確保するため、郡の環境を評価する第三者のHIPAAコンプライアンス専門家も起用されました。HIPAAの対象となる情報を取り扱うすべての人員に対する研修が拡充され、PHIの取り扱いおよび保管に関する方針の見直しも実施されました。郡は現在、ネットワークセキュリティを強化するために追加で講じ得る措置を評価しています。このデータ侵害は、HHS(米国保健福祉省)の公民権局(Office for Civil Rights)の侵害ポータルにはまだ掲載されていないため、ランサムウェア攻撃でPHIが侵害された人数は現時点では不明です。
この攻撃はINC Ransomランサムウェアグループによって実行された可能性が高く、同グループはダークウェブ上のデータ漏えいサイトに「アルベマール郡公立学校」を追加しています。INC Ransomは、この攻撃で229GBのデータを流出(持ち出し)させたと主張しています。INC Ransomは盗まれたデータを漏えいさせているため、影響を受けた個人は無料のクレジットモニタリングおよび身元盗難保護サービスに速やかに登録することが強く推奨されます。また、個人データの不正利用の兆候がないか、口座、給付明細(Explanation of Benefits)および信用情報(クレジットレポート)も確認すべきです。
翻訳元: https://www.hipaajournal.com/albemarle-county-va-ransomware-data-breach/
