Oracle Healthで発生したハッキング事件の影響を受けた個人の数はまだ確認されていない。しかし、このデータ侵害は約80の病院に影響を及ぼしたことが分かっているものの、それらの病院の一覧は公表されていない。
Oracle Healthは影響を受けた医療提供者の顧客に通知を行っており、その中にはごく最近になって初めて影響を受けたことを知ったところもある。ミズーリ州のLake Regional Health System、イリノイ州のOSF Saint Clare Medical Center、オハイオ州のAultman Health System、ノースカンザスシティのNKC Healthはいずれも最近、このハッキング事件の影響を受け、患者データが盗まれたことを確認した。これら各医療提供者は、影響を受けた患者への通知の発行を開始しており、無料のクレジット監視サービスを提供している。
ハッキング事件で侵害されたデータは提供者によって異なるが、一般的には氏名、生年月日、社会保障番号、診療録番号、診断名、投薬情報、検査結果、医療画像など、医療記録に通常保存される情報が含まれる。事件によりデータは侵害されたものの、現時点でデータの不正利用が確認された事例はない。影響を受けた医療提供者の一部は、Oracle Healthから影響を受けた旨の通知を受け取ったのがごく最近である。例えば、OSF Saint Clare Medical CenterとNKC Healthは、影響を受けた個人の一覧を受け取ったのが11月で、ハッキング事件の発生から11か月後だった。
このデータ侵害を受けて、複数の集団訴訟が提起されている。侵害被害者の代理人の一人は、Oracle Healthの弁護士から「80の病院が影響を受けた可能性がある」と伝えられたという。ミズーリ州西部地区連邦地裁に提起された訴訟で被害者の一人を代理する弁護士Elena A. Belovは、このデータ侵害が数百万人に影響する可能性があると示唆している。
2025年8月14日:Oracle Health/Cernerのデータ侵害で少なくとも14,485人が影響を受けたことが判明
Oracle Health(旧Cerner Corporation)で発生したデータ侵害の影響を受けた個人の数が、より明確になりつつある。影響を受けた総数はまだ公表されていないが、州の司法長官宛に提出された侵害通知に基づくと、少なくとも14,480人超が影響を受けたことが確認されている。ただし、実際の総数は間違いなくこれより大幅に多い。
複数の州が侵害通知書を公開している一方で、影響を受けた個人の数を開示しているのはマサチューセッツ州、サウスカロライナ州、テキサス州、ワシントン州など一部に限られる。 これらの州に加え、カリフォルニア州もOracle Healthからの侵害通知を公開しているが、カリフォルニア州は影響を受けた個人の数を明らかにしていない。
| 州 | 影響を受けた州内居住者 |
| マサチューセッツ州 | 6,562 |
| テキサス州 | 4,082 |
| サウスカロライナ州 | 2,989 |
| ワシントン州 | 802 |
| カリフォルニア州 | 不明 |
| 合計 | 少なくとも14,485人 |
Oracle Healthは以前、HHS(米国保健福祉省)の公民権局(OCR)への報告が必要となる侵害が発生したかどうかを判断する責任は、影響を受けた各対象事業体にあると述べている。そのため、影響を受けた対象事業体の顧客が自らOCRに侵害を報告する可能性が高く、影響を受けた個人の数を特定することが難しくなっている。
2025年4月21日:CISAがOracleのデータ侵害の影響を受けた顧客向けにセキュリティ警告を発出
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、最近確認されたOracleのデータ侵害についてセキュリティ警告を発出した。Oracleは、無許可の人物が同社のレガシー・クラウド環境にアクセスしたことを確認しているが、Oracleが公表した事件の詳細は限られており、侵害の範囲は現時点で未確認である。Oracleの顧客を標的とした脅威アクターの活動が報告されているが、その活動の範囲と影響はまだ不明だ。
事件で侵害された情報には、ユーザー名、メールアドレス、パスワード、認証トークン、暗号鍵などの認証情報が含まれており、そのため本侵害は企業環境にリスクをもたらす。CISAは、Oracleの顧客に対し不正アクセスから保護するための措置を講じるよう推奨し、認証情報がスクリプト、アプリケーション、インフラテンプレート、自動化ツールに埋め込まれている場合、検出が困難になり得ると警告している。対策が取られなければ、不正な行為者が認証情報を用いて企業環境へ長期的にアクセスする可能性がある。
認証情報の侵害にはリスクが伴う。脅威アクターはしばしば認証情報を収集して武器化するためだ。盗まれたデータは過去の侵害で得られた情報で補強される可能性があり、他の脅威アクターに販売されたり、BEC攻撃やフィッシングキャンペーンに利用されたりする恐れがある。有効な認証情報は、権限昇格やネットワーク内での横展開、またはクラウドやID管理システムへのアクセスに使用され得る。
推奨される緩和策には、企業サーバー全体でのパスワードリセット(特にローカル認証情報が企業のIDソリューションでフェデレーションされていない場合)が含まれる。 ソースコードに加え、Infrastructure as Codeのテンプレート、設定ファイル、自動化テンプレートをレビューして埋め込み認証情報を特定し、安全な認証方式に置き換えるべきである。認証ログは、特権アカウント、サービスアカウント、またはフェデレーションIDアカウントを中心に異常な活動がないか監視し、可能であればフィッシング耐性のある多要素認証を実装して強制すべきであり、特に管理者アカウントでは重要である。
Oracleは、侵害はレガシーサーバーに関するものでOracle Cloudの侵害ではないと強調しているが、顧客のリスク軽減に役立つ公的な助言はまだ発出していない。
2025年4月15日:Oracleが旧式サーバーに関わるハッキング事件を確認
Oracleは、メディアで広く報じられているセキュリティ事件について顧客に通知を発出し、Oracle Cloudは侵害されていないことを確認した。Oracleは2025年4月7日付の顧客向けメール通知で、「Oracleは明確に申し上げますが、Oracle Cloud(Oracle Cloud Infrastructure、OCIとしても知られる)ではセキュリティ侵害は発生していません」と説明した。Oracleはまた、「OCRの顧客環境は侵入されていません。OCIの顧客データは閲覧も盗難もされていません。OCIのサービスはいかなる形でも中断または侵害されていません」と確認した。
しかし、レガシーサーバーに関わるセキュリティ事件はあった。Oracleは、「ハッカーがOCIの一部であったことのない2台の旧式サーバーにアクセスし、ユーザー名を公開しました。ハッカーは利用可能なパスワードを露出させていません。というのも、その2台のサーバー上のパスワードは暗号化またはハッシュ化されていたためです。したがって、ハッカーは顧客環境や顧客データにアクセスできませんでした」と述べた。
セキュリティ研究者Kevin Beaumontによれば、「旧式サーバー」とはGen1、別名Oracle Cloud Classicであり、Oracle Cloudとは異なるプラットフォームだが、Oracleが管理するクラウドサービスだった。Beaumontは、Oracleが侵害通知において言葉の綾を用いていると示唆し、データを含む2台の旧式サーバーがなぜ依然としてアクセス可能だったのか疑問を呈した。 Oracleの回答は、脅威アクター「rose87168」が、LDAPの表示名、メールアドレス、名、ハッシュ化パスワード、その他の情報を含む600万件のデータレコードを販売しようとしているという主張に関連している。
また、旧CernerであるOracle Healthに関わる別の事件もあった。Oracle Healthの事件では、「Andrew」と名乗るハッカーがOracle Healthの顧客を恐喝しようとしていると報じられており、盗まれたデータの公開を防ぐために数百万ドル相当の暗号資産の支払いを要求している。 連邦捜査局(FBI)が捜査しているが、進行中の捜査に関する情報は明らかにしていない。
Oracle Healthのセキュリティ事件もレガシーサーバーに関わるもので、この場合は電子カルテ企業Cernerの旧サーバーである。これらのサーバーはまだOracle Cloudへ移行されていなかった。Oracleは、盗まれた認証情報が2025年1月22日頃にそれらのサーバーへアクセスするために使用されたと述べた。セキュリティ事件は2025年2月20日頃に特定された。影響を受けた個人の数と関与したデータの種類はまだ確認されていないが、医療記録に通常含まれる情報が含まれる可能性が高い。
侵害に関連して、Oracle Healthに対する別の訴訟も提起された。この訴訟はミズーリ州西部地区連邦地裁に提起され、ハッカーが氏名、社会保障番号、臨床検査結果、その他の保護対象医療情報を含む機微情報を盗んだと主張している。訴状は、Oracle Healthが2022年にCernerを283億ドルで買収した後、サーバーの安全確保を怠った過失があると主張している。
名指しの原告2名であるRebecca BlountとCheryl McCulleyは、Oracle Healthからデータ侵害について通知を受けていないとし、現在、身元盗用や詐欺のリスクが増大し継続していることに直面しており、データの不正利用から身を守るための費用が発生したと述べている。損害賠償に加え、訴訟は差止め救済も求めており、将来に向けてOracle Healthにセキュリティの改善とより高い透明性での運用を命じる裁判所命令などを求めている。
Oracle Healthは医療提供者の顧客に対する通知の中で、HIPAAの下で報告対象となる侵害が発生したかどうかを判断する責任は顧客側にあり、報告対象の侵害が発生したと判断した場合には影響を受けた個人へ侵害通知を発行する責任も顧客側にあると説明した。
2025年4月3日:医療データ侵害をめぐりOracleが提訴される
2025年1月のデータ侵害をめぐり、フロリダ州在住者がテキサス州西部地区連邦地裁でOracle Corporationに対して集団訴訟を提起した。Oracleはデータ侵害があったことを公に確認しておらず、事件は保健福祉省(HHS)公民権局(OCR)の侵害ポータルにもまだ掲載されていないため、現時点で何人が影響を受けたのかは不明である。
Shamis & Gentile法律事務所が提起したこの訴訟は、Michael Toikachを原告として名指しし、事件で個人データが侵害された同様の立場の他の個人を代表して提起された。 原告は、Oracleのソフトウェアを使用する医療提供者を通じて、自身の個人情報および健康情報がOracleに保存されていたと主張している。 訴状は、Oracleが業務目的で受領・保管した機微データを適切に保管・保護し、十分に破棄するための合理的かつ業界標準のデータセキュリティ対策を実装しなかったと主張し、そのデータセキュリティ上の不備の結果、サイバー攻撃とデータ侵害の被害に遭ったとしている。具体的には、ネットワークのセグメンテーション不足、従業員のサイバーセキュリティ訓練の不十分さ、監視およびアラートシステムの欠如があったと主張している。
侵害は2025年1月22日頃に発生し、Oracleが2025年2月20日に発見した。訴訟は通知の欠如を問題視しており、HIPAA侵害通知規則の下では、不当な遅延なく、かつデータ侵害の発見日から遅くとも60日以内に通知を発出すべきだとしている。テキサス州にもデータ侵害通知法があり、訴訟はこれが違反されたと主張している。HIPAAと同様に、テキサス州法の下でも通知は不当な遅延なく、かつデータ侵害の発見から60日目までに発出されなければならない。
訴訟は、通知発出の遅れとデータ侵害に関する透明性の欠如が相まって、原告および集団構成員がリスクと曝露を軽減するために必要な情報を奪われたと主張している。事件で機微な個人情報および健康データが侵害されたため、原告および集団構成員は身元盗用や詐欺のリスクが増大し継続していると主張しており、その高まったリスクは今後何年も続く可能性が高いとしている。
訴訟は、過失、当然過失、第三者受益者契約違反、不当利得、受託者義務違反を主張し、陪審裁判、補償的損害賠償、自己負担損失の補填、長期のクレジット監視サービスを求めている。また、データ暗号化、定期的な侵入テスト、第三者によるセキュリティ監査、自動化されたセキュリティ監視、セキュリティ意識向上研修プログラムの強化など、長い一覧のセキュリティ対策をOracleに実装させる差止め救済も求めている。
2025年3月31日:Oracle Healthの侵害が米国の複数病院の患者に影響
Oracleは2件のセキュリティ事件に見舞われたようで、そのうち1件は電子カルテ(EHR)企業Cernerに関連してOracle Healthが保管していたデータに関わるものだった。Oracle Healthは病院向けの医療情報技術の提供者である。2021年12月、OracleはEHRベンダーであるCerner Corporationを買収する合意に達したと発表した。取引は2022年6月に完了し、CernerはOracle Healthとなった。
Oracle Healthはサイバー攻撃とデータ侵害について公的発表をまだ行っていないが、影響を受けた医療提供者に対しデータが侵害された旨の通知を開始している。現段階では詳細は乏しく、Oracle Healthは侵害通知において影響を受けた医療提供者に事件の詳細を開示しなかった。 影響を受けた医療提供者の顧客の一部と連絡を取っているBleeping Computerによると、通知書ではOracle Healthが2025年2月20日にセキュリティ侵害を検知し、フォレンジック調査により侵害が2025年1月22日以降に発生したことが確認されたと助言している。Oracle Healthは、未知の脅威アクターが盗まれた認証情報を用いてレガシーサーバーにアクセスし、データを持ち出したと述べた。
関与したデータの種類は不明だが、電子カルテに含まれるデータが含まれているようであり、その場合、医療保険の携行性と責任に関する法律(HIPAA)の下で報告対象の侵害となる。 Oracle Healthは、影響を受けた提供者に対し、影響を受けた個人と関与したデータの種類の特定を支援し、無料のクレジット監視および身元盗用保護サービスの費用を負担し、侵害通知書のテンプレートを提供できると伝えたと報じられている。しかし、HIPAA侵害があったかどうかを判断し、該当する場合に影響を受けた個人へ通知書を発行する責任は各医療提供者にあるとしている。
HIPAA侵害通知規則の下では、保護対象医療情報(PHI)のうち未保護の情報が侵害された場合、米国保健福祉省には不当な遅延なく、かつデータ侵害の発見日から遅くとも60日以内に通知しなければならない。個人宛の通知書も同じ期間内に郵送しなければならず、侵害が500人以上に影響する場合は、影響を受けた個人が居住する州または管轄区域にサービスを提供する主要メディアにも通知を行う必要がある。
HIPAA規制対象事業体のビジネスアソシエイトがデータ侵害を経験した場合、ビジネスアソシエイトは影響を受けた対象事業体の顧客に対し、不当な遅延なく、かつデータ侵害の発見日から遅くとも60日以内に通知しなければならない。ここでもそのように行われたようだ。影響を受けた個人への通知書が60日以内に郵送されることを確実にする責任は影響を受けた対象事業体にあり、時計はビジネスアソシエイトから通知を受け取った時点で動き始める。 各対象事業体はHIPAAの下で通知書発行の責任をビジネスアソシエイトに委任することが認められているが、最終的には、影響を受けた各HIPAA対象事業体がそれらの通知が発行されることを確実にする責任を負う。
Oracle Healthの通知書は、Oracle Healthのエグゼクティブ・バイスプレジデント兼GMであるSeema Vermaが署名したと報じられている。しかし、書簡はレターヘッド付きの用紙では送付されておらず、影響を受けた顧客には、メールではなく電話でOracle Healthの最高情報セキュリティ責任者(CISO)室に直接連絡するよう伝えられている。これは、OracleがレガシーなCernerデータ移行サーバーの侵害との関連付けを避けようとしていることを示唆している。
ランサムウェアが使用されたかどうかは不明だが、データは持ち出され、影響を受けた提供者に対する恐喝の試みに利用されている。これら提供者の一部は、「Andrew」と呼ばれる脅威アクターから身代金要求を受け取ったと報じられており、同人物は既知のランサムウェアグループとは無関係だと主張している。脅威アクターは、支払いが行われなければ盗まれたデータを漏えいさせると脅している。
別の事件と思われるものとして、別の人物が約1か月前に脆弱性を悪用し、Oracle Cloudサーバーにアクセスして約600万件のレコードを持ち出したと主張している。rose87168という名前を使う人物は、SSO認証データと暗号化されたLDAPパスワードを入手したと述べており、盗まれたファイル内の情報を用いれば復号できると主張している。彼女が悪用したとされる脆弱性はCVE-2021-35587で、Oracle Access Managerに影響する。
事件の影響を受けたとされる複数企業の代表者は、盗まれたデータのサンプルに自社アカウントに関連する真正な情報が含まれていることをBleeping Computerに確認したとされる。CloudSEKの研究者は、rose87168が提供したデータをレビューし、中程度の確度で深刻度が高いと評価し、Oracle Cloudサービスを利用する14万超の顧客が関与していると結論づけた。Oracle Cloudは、Oracle Cloudの侵害はなく、公表された認証情報はいずれもOracle Cloudのものではないと主張しているが、公式な説明は提供していない。
翻訳元: https://www.hipaajournal.com/oracle-health-data-breach/
