投稿者:Steve Alder 2026年1月5日
Covenant Healthは、2025年5月のランサムウェア攻撃により影響を受けた個人数について最新情報を公表し、少なくとも478,188人が影響を受けたことを確認しました。これは、以前報告されていた合計7,864人から5,980%の増加となります。メイン州司法長官宛てに送付された通知書簡(Covenant Healthの代理として、法務顧問であるBaker & Hostetler LLPが発行)によると、追加の通知書簡の郵送が2025年12月31日に開始され、メイン州住民284,529人への通知も含まれています。
Baker & Hostetlerは、2025年7月11日に当初のデータ侵害報告が提出された後も調査が継続され、現在ではデータ分析の大部分が完了したと説明しており、調査が終了する時点までに総数がさらに増加する可能性があることを示唆しています。ランサムウェア攻撃は、2025年5月26日にIT環境内で不審な活動が観測されたことで検知され、調査により、無許可の第三者が2025年5月18日からネットワークにアクセスしており、患者情報を含むファイルにアクセスできたことが確認されました。
侵害されたデータの種類は個人によって異なり、氏名に加えて、以下のうち1つ以上が含まれます:住所、生年月日、診療録番号、社会保障番号、健康保険情報、診断、治療日(複数の場合あり)、治療の種類(複数の場合あり)。既報のとおり、Qilinランサムウェアグループが本攻撃の犯行声明を出しています。
Baker & Hostetlerは、社会保障番号が関与した個人に対してCovenant Healthが無料のクレジット監視および個人情報盗難保護サービスを提供していること、ならびにIT環境のセキュリティ強化のための措置が講じられたことを確認しました。
無料で入手
HIPAAコンプライアンス・チェックリスト
チェックリストのリンクをあなたのメールアドレスへ即時送信
正しいメールアドレスを入力してください
プライバシーは尊重されます
HIPAA Journal プライバシーポリシー
2025年7月14日:Covenant Health:2025年5月のランサムウェア攻撃で影響を受けた個人は7,864人
Covenant Healthは、最近のサイバー攻撃に関する代替の侵害通知を公表し、影響を受けた個人に対する通知書簡の発行を開始しました。HHS(米国保健福祉省)公民権局の侵害ポータルには現時点でデータ侵害報告は表示されていないものの、メイン州司法長官には、本件で7,864人(うちメイン州住民4,659人)の個人情報および保護対象保健情報が侵害されたと報告されています。
侵害通知書簡では、2025年5月26日にコンピュータネットワーク内で不審な活動が確認されたことが示されています。影響を受けたシステムの保護と復旧を行い、発生源、範囲、患者データが侵害されたかどうかを特定するための調査を実施するため、直ちに措置が講じられました。Covenant Healthは、氏名不詳の脅威アクターが2025年5月18日にネットワークの一部へアクセスし、「一部の患者情報にアクセスできた」ことを確認しています。
通知書簡によると、2025年6月25日にCovenant Healthは、メイン州住民4,659人のデータが露出し、盗まれた可能性があることを把握しました。侵害されたデータには、氏名、住所、生年月日、診療録番号、社会保障番号、診断情報、治療情報、健康保険情報が含まれます。追加のデータが侵害されたかどうかを判断するための詳細なレビューが継続中であり、該当する場合は後日通知が補足される可能性があります。
7,864人の影響を受けた個人への通知書簡は2025年7月11日に送付が開始され、無料のクレジット監視および個人情報盗難保護サービスが提供されています。セント・ジョセフ病院、バンゴー・ナーシング&リハビリテーション・センター、セント・メアリーズ・ヘルス・システム、ルイストンのセント・メアリーズ・ドゥユーヴィル・パビリオン、ビデフォードのセント・アンドレ・ヘルス・ケアの患者が本件の影響を受けたことが確認されています。Covenant Healthは、セキュリティを改善し将来の同様の事案を防止するため、ネットワークの更新を行ったと述べています。通知書簡には、脅威グループ名やランサムウェアが使用されたかどうかは記載されていません。
Qilin脅威グループが本攻撃の犯行声明を出しました。同グループの戦術・技術・手順には、データ窃取とランサムウェアによるファイル暗号化が含まれ、身代金が支払われない場合には、ダークウェブ上のデータ漏えいサイトでデータが公開されます。Covenant Healthは当初同サイトに掲載されていましたが、その掲載は削除されており、身代金が支払われたことを示しています。
2025年5月30日:ニューイングランドの病院に影響するCovenant Healthへのサイバー攻撃
メイン州アンドーバーに拠点を置き、ニューイングランドおよびペンシルベニア州の一部に医療サービスを提供するカトリック系医療提供者であるCovenant Healthは、ネットワーク全体で接続障害を引き起こしているサイバー攻撃への対応に追われています。同医療システムは2025年5月26日に接続障害を初めて経験しました。病院、クリニック、医療提供者の診療所を含むネットワーク全体でデータシステムを停止する決定が下されました。Covenant Healthは、接続障害が外部グループによるサイバー攻撃に起因することを確認しています。
Covenant Healthは、調査支援およびシステムアクセス復旧の支援のため、最高水準のサイバーセキュリティ専門家を起用しました。調査はまだ初期段階のため、患者データが盗まれたかどうかは不明です。同医療システムはランサムウェアが使用されたかどうかを明らかにしておらず、現時点で犯行声明を出している脅威グループもありません。Covenant Healthは通常どおり医療サービスを提供できるよう取り組んでおり、別のシステムで運用されているため、急性期後ケア施設への影響は小さいとしています。職員は問題解決とシステムおよびサービスの早期復旧のため、24時間体制で対応しています。患者には予約を維持するよう案内されています。
ニューハンプシャー州ナシュアのセント・ジョセフ病院のウェブサイトでは、電話およびインターネットアクセスに影響する可能性のある一時的なシステム問題が発生しており、一部のサービスが利用できない可能性があると警告しています。攻撃が検知された際、万全を期すため、一部の救急車を地域内の他病院へ迂回させる決定が下され、医療画像診断など特定のサービスを必要とする患者は他施設へ搬送されました。本件は外来検査室サービスにも影響しており、当該サービスは本院キャンパスでのみ、かつ紙のオーダーを持参した場合に限って提供されています。メイン州の病院2施設(バンゴーのセント・ジョセフ病院およびルイストンのセント・メアリーズ病院)も影響を受けたことが確認されています。
追加情報が入り次第、本記事は更新します。
翻訳元: https://www.hipaajournal.com/covenant-health-cyberattack/
