TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

ニュージーランドが「Manage My Health」のデータ流出事件を調査、10万人以上の患者が影響

ニュージーランド政府は、同国全域の患者が医療記録へのアクセスや一般診療(GP)の予約管理に使用するオンライン患者健康ポータル「Manage My Health」に影響を与えた大規模なデータ流出事件について調査を実施しています。

サイバー攻撃は2025年12月30日にManage My Healthが検出し、その後ニュージーランドの保健大臣シメオン・ブラウンによって「極めて懸念される」と表現されました

患者データの懸念の中で攻撃は封じ込められた

1月1日から3日にかけて発表された一連の声明で、被害を受けた企業はHealth New Zealand、ニュージーランド警察、その他の政府機関、および独立した国際フォレンジック専門家と協力して事件に対応していると述べました。

1月5日のメディアへのスピーチで、ブラウンは「政府は特にHealth New ZealandおよびGeneral Practice New Zealandの範囲内で、これに対処し、この事件への対応としてManage My Healthをサポートするために、かなりの量のリソースを投入している」と確認しました。

最新の声明で、Manage My Healthは「事件は封じ込められた」「アプリケーションは安全である」ことを確認しました。

しかし、同社の主張にもかかわらず、攻撃の背後にある脅威行為者がManage My Healthのユーザーの個人情報にアクセスしている可能性があります。

同社の1月1日の初めての声明によると、同社に登録されているニュージーランドの患者約180万人のうち、6~7%が侵害されている可能性があり、これは10万~120万人を表しています。

「Kazu」というエイリアスを使用する攻撃者は、12月30日のサイバー犯罪フォーラムへの投稿で事件の背後にいると主張し、428,000以上のファイルが持ち去られたと述べ、Manage My Healthが1月15日までに60,000ドルの身代金を支払わなければ情報は販売されると警告しました。

1月3日にTelegramに投稿された別のメッセージで、Kazuは脅迫をエスカレートさせ、支払いがなされなければ盗まれたすべてのデータが48時間以内に公開されると述べました。

ニュージーランド保健省の調査

状況に関する調査の一環として、ブラウンは保健省が何が起こったのか、どのようなデータ保護が行われていたのかを調査するだけでなく、医療システム全体における第三者による健康データへのアクセスに関して他に何をする必要があるかについても検討すると述べました。

大臣はまた、関連するデータが極めて個人的で機密性の高い患者情報を含んでいることを強調しました。公的機関または民間企業によって保有されているかどうかにかかわらず、最強のセキュリティおよびプライバシー対策で保護されなければならないと述べました。

Manage My Health「保健省による調査の実施を歓迎し、このプロセスに完全に協力する。調査の結果と勧告が私たちだけでなく、業界全体にとって有益であることを希望している」と述べました。

同社はまた、事件の結果として投稿されたデータへの第三者によるアクセスを防ぐため、高等裁判所から仮差止命令を取得しました。

大臣が患者への通知を促す

ブラウンはまた「患者に通知することの」重要性と緊急性を強調しました。

Manage My Healthは1月5日に一般診療所への通知を開始したと述べました。

「各診療所は、セキュアなプロバイダーポータルを通じて、患者に影響を与えた機密リストへのアクセス、および連絡してきた患者をサポートするためのガイダンスを受け取ります」と同社は述べました。

直接患者への通知は、すべてのGP診療所が通知された後、同じ週の後半に開始される予定であると同社は追加しました。

「患者が明確で一貫した情報を受け取り、異なる組織から同じ事件についての複数のまたは矛盾した通知を受け取らないようにするため、正確なタイミングはHealth New Zealand、GPNZおよびGP診療所との調整が必要です。」

Manage My HealthおよびHealth New Zealandは、影響を受けた患者のための専用の0800ヘルプラインも確立します。電話番号と営業時間を含むさらなる詳細は、同社の次の更新で提供されます。

大臣が過ちを非難、企業は謝罪を発行

メディアへのスピーチ中に、大臣は「起こったことは許されない」「誤りはManage My Health側にあった」と述べました。

ブラウンはまた同社に「影響を受けたすべての患者とこのサービスのユーザーに謝罪する」よう促しました。

Manage My Healthは最新の声明で「このインシデントがプロバイダーと患者に与えた苦痛と不安について心から謝罪します」と述べることで謝罪しました。

同社はまた「コミュニケーションに関してはより良い仕事ができたと思いますが、私たちの優先事項は患者データを保護し、診療所と患者に提供する前にすべての情報の正確性に取り組むことでした」と認めました。

ブラウンは同国が医療データの保護をより良い仕事をする必要があると指摘しました。

「私たちは根本原因を究明し、教訓を学ぶ必要があります」と付け加えました。

翻訳元: https://www.infosecurity-magazine.com/news/new-zealand-orders-review-manage/

ソース: infosecurity-magazine.com
#サイバー攻撃 #セキュリティ侵害 #データ漏洩 #ニュージーランド #プライバシー #ランサムウェア #医療セキュリティ #医療情報 #患者情報保護 #身代金要求

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新