医療サービス提供会社Conduentで発生した2024年のハッキング事件の被害者数が、同社による新たな規制当局向け開示(今回はテキサス当局向け)を受けて再び急増した。同社はローンスター州の当局に対し、この侵害によりテキサス州民だけで約1,480万人が影響を受けたと伝えた。
この数字は、Conduentがハッキングの影響を受けたと述べていた全米の従来合計1,050万人から、ほぼ半分増となる。
大規模なベンダーによる医療データ侵害では、影響を受けた人数を正確に数えることが難しいのは多くの企業にとって継続的な課題であり、しばしば多数の顧客企業と、その顧客企業が抱える個別の利用者が長いリストになることが原因だと指摘する専門家もいる。
「これは、支払者、医療提供者、サプライヤー、研究機関を含む医療セクター全体にわたる重大なリスクです」と、コンサルティング会社The Edmund Groupのパートナーで、医療保険会社Humanaのリスク管理エグゼクティブでもあるスティーブン・アドラー氏は述べた。
ニュージャージー州に本拠を置くConduentは昨年4月、投資家に対してこの事件を当初開示した(参照:Conduentハックで訴訟と調査が相次ぐ)。
このハックに関連するConduentの顧客には、保険会社のBlue Cross and Blue Shield of Texas、Blue Cross and Blue Shield of Montana、Premera Blue Cross、Humanaのほか、ウィスコンシン州児童・家族局など一部の州政府機関も含まれる(参照:モンタナ当局、ベンダーに紐づくBCBS侵害を調査)。
Blue Cross and Blue Shield of Texasは11月、Information Security Media Groupへの声明で、同社にメールルームなどのサービスを提供しているConduentから、サイバー事件により同社の会員データの「一部」が影響を受けたと通知されたと述べた。
火曜日にISMGへ提供された声明で、BCBSTXは「Conduentのサイバー事件の結果として影響を受けた会員数を開示することはできない」と述べた。*
Conduentのサイバーセキュリティ事件で影響を受けたファイルに含まれていた可能性のある個人情報には、氏名、社会保障番号、医療情報、健康保険情報が含まれる場合がある。BCBSTXによれば、すべての個人についてすべてのデータ要素が存在していたわけではないという。
Conduentは22カ国で企業および政府向けに幅広いバックオフィスサービスを提供している。2017年1月、ゼロックスが事業サービス部門をスピンオフし、2つの独立した上場企業を設立したことで発足した。
4月の開示でConduentは、2025年1月13日に業務上の障害を経験し、脅威アクターが同社ネットワークへ不正アクセスしたことを把握したと述べた。
調査の結果、名前が明かされていない脅威アクターが「同社の限られた数の顧客に関連する」一連のファイルを流出させたと、Conduentは投資家に伝えた。
火曜日にISMGへ出した声明でConduentは、ハッキング事件により個人情報が影響を受けた可能性のある人々に対し、顧客に代わって通知書簡を送付することに同意し、消費者からの問い合わせに対応するためのコールセンターを設置したと述べた。
ダークウェブ監視プラットフォームRansomware.liveは、2025年2月にランサムウェア集団SafePayが同社のダークサイト上でConduentを被害者の一つとして掲載し、盗まれた同社データ8.5テラバイトを公開すると脅したとされることを確認した。
Conduentは、ハッキング事件に関する追加詳細の要請に直ちには回答しなかった。
サードパーティベンダー要因
Conduentは、大規模ハッキング事件において被害者数を何度も(数百万人単位で)更新せざるを得なかった侵害サードパーティベンダーの最初の例ではない。
UnitedHealth GroupのITサービス部門であるChange Healthcareは、2024年2月のランサムウェア攻撃で影響を受けた人数が最終的に1億9,300万人という記録的な数に落ち着くまで、規制当局に複数回の侵害報告を提出した。
一部の専門家によれば、大規模なセキュリティ事件で影響を受けた情報と被害者を整理する際、データの複雑性と集約はサードパーティベンダーにとって最も困難な課題の一つだという。
「多くのサードパーティベンダー、とりわけ大規模に運用しているベンダーは、共有プラットフォームやマルチテナント環境を通じて、数十、数百、場合によっては数千の対象事業体を支援しています」と、プライバシーおよびセキュリティ企業Clearwaterでコンサルティングサービス担当副社長を務めるデイブ・ベイリー氏は述べた。
「複数の顧客のデータが混在したり、システム間で複製されたり、下流の連携を通じて受け渡されたりすることがあり、事件の間にどの記録がアクセスされ、流出し、または改ざんされたのかを正確に追跡するのは極めて困難になります。」
ベイリー氏によれば、HIPAAの対象事業体は、ベンダーがもたらすセキュリティリスクを依然として過小評価しがちだという。
「多くの組織は、侵害は起こりにくい出来事であるかのようにベンダーを評価しています」と同氏は述べた。「しかし現実には、侵害は不可避なものとして扱うべきであり、焦点は被害範囲(ブラスト・レディアス)の縮小、レジリエンス、迅速な対応に置くべきです。つまり、ベンダーが本当に必要とするデータは何か、どれくらいの期間保持するのか、そして事件をどれだけ迅速に検知して封じ込められるのかを理解することです。」
アドラー氏は、医療セクターの組織が、重要なサードパーティがもたらすリスクの主要領域を見落とすことがあると述べた。
「対象事業体はサプライヤーのサイバー衛生を評価するのに相当な時間を費やしますが、デューデリジェンスの段階や継続的な監視において、市場におけるサプライヤーの行動を同じくらい重要にレビューする必要があります」と同氏は述べた。「これには、経営陣の変更、規制措置、訴訟、8K提出、そしてもちろんデータ侵害が含まれ得ます。こうした不利な行動は、どの対象事業体にとっても重要であるべきです。」
火曜日時点でConduentの事件は、2025年に報告された医療データ侵害として、2,270万人に影響した補足医療保険会社Aflacへのハックに次いで、少なくとも2番目に大きい規模となる見込みだ。
*記事は1月6日20:22 UTCに更新され、BCBSTXのISMG向け声明を追加しました。
翻訳元: https://www.databreachtoday.com/conduent-hack-victim-count-soars-by-at-least-50-a-30453
