ウィスコンシン州マディソンに拠点を置くARCコミュニティ・サービス(女性と子ども向けに、行動ヘルス、物質使用障害の治療、支援サービスを提供する事業者)は、同社ネットワークから機微なデータが盗まれるランサムウェア攻撃を受けた。
ARCコミュニティ・サービスは2024年11月4日に不正なネットワーク活動を特定し、直ちにシステムをオフラインにして、不正活動の性質と範囲を特定するための調査を開始した。第三者のデジタル・フォレンジック専門家の支援を受け、ARCコミュニティ・サービスはデータの持ち出し(エクスフィルトレーション)を含む不正なネットワークアクセスを確認した。2025年11月12日付の更新された代替侵害通知において、ARCコミュニティ・サービスは、露出および持ち出されたデータの詳細なレビューを実施し、次の種類の情報が関与していたことを確認したと述べた:氏名、連絡先情報、生年月日、医療記録番号、健康情報、運転免許証番号、金融口座情報。盗まれたデータが悪用されたことを示す証拠は見つかっていないが、予防措置として、影響を受けた個人には無償のクレジット監視、個人情報盗難保護、詐欺支援サービスが提供されている。
代替侵害通知ではランサムウェア攻撃としては記載されていないものの、ニューハンプシャー州司法長官に提出された通知により、これはINC Ransomランサムウェア・グループによるランサムウェアイベントであることが確認された。INC Ransomのデータ漏えいサイトには依然としてARCコミュニティ・サービスが掲載されており、身代金は支払われなかったことを示している。ARCコミュニティ・サービスは司法長官に対し、ファイルのレビューにより、2025年8月28日に、持ち出されたデータに患者の保護対象保健情報が含まれていることが確認され、ファイルレビューは2025年11月6日に完了したと伝えた。影響を受けた個人への通知書は2025年12月上旬に郵送された。
通知書の発行が遅れたのは、影響を受けた個人を正確に特定し、関与した正確なデータ要素を確認し、通知書を送付できるよう最新の連絡先情報を入手するのに時間を要したためである。ARCコミュニティ・サービスは、データセキュリティの方針および手順を見直し、将来同様の事案を防止するための追加的な安全対策を実施していると述べた。このデータ侵害は、影響を受けた個人が少なくとも501人という暫定的な数値を用いて、2025年2月2日にHHS(米国保健福祉省)の公民権局に報告された。最終的な侵害件数はまだ更新されていない。
翻訳元: https://www.hipaajournal.com/arc-community-services-data-breach/
