イリノイ州人間サービス局は、数年にわたり「不適切なプライバシー設定」が放置されたことで、メディケア、メディケイドおよびリハビリテーションサービスの受給者に関するオンラインデータが露出した侵害について、70万人を超える人々に通知している。
州機関は1月2日の声明で、2025年9月22日に発見されたこの事案は、家族・地域サービス部門の計画・評価局が作成した地図が露出したことに関するものだと述べた。
「これらの地図は、新たな地域事務所をどこに開設するかを判断するなど、資源配分の意思決定を支援するためにIDHSが作成したもので、IDHS内部での利用のみに意図されていました」とIDHSは述べた。
IDHSの侵害は、2つのカテゴリーの個人に影響している。
これには、約67万3,000人のメディケイドおよびメディケア貯蓄プログラムの受給者が含まれる。これらの個人の情報を含む地図は、2022年1月から2025年9月まで一般公開されていた。影響を受けた情報には受給者の氏名は含まれていなかったが、住所、ケース番号、人口統計情報、ならびにメディケイドやメディケアなどの医療扶助プラン名が露出した。
侵害の影響を受けたもう一つのカテゴリーには、リハビリテーションサービス部門の顧客約3万2,401人が含まれていた。
DRS顧客情報を含む地図は、2021年4月から2025年9月まで一般公開されており、氏名、住所、ケース番号、ケース状況、紹介元情報、地域および事務所情報、ならびにDRS受給者としてのステータスが含まれていた。
同局は、露出した地図情報を誰が閲覧したのか特定できないとしている。露出を発見後、IDHSは直ちにすべての地図のプライバシー設定を変更し、アクセスを認可された従業員のみに制限したと述べた。
この事案以降、同局は「セキュア・マップ・ポリシー」を策定・実施し、顧客レベルのデータを公開マッピングサイトにアップロードすることを禁止した。
ITの設定ミス事案は医療分野で頻発する問題であり、長年にわたり多くの大規模侵害を引き起こしてきた。セキュリティおよびプライバシーのコンサルティング会社tw-Securityのパートナー兼主任コンサルタントであるキース・フリッケ氏は、ITの設定ミスにつながる要因はさまざまで、結果として数カ月、あるいは数年にわたり健康データがウェブに露出することがあると述べた。
「一般的な理由はいくつかあります。想定どおりに変更が実装されたことを確認することを含む、正式な変更管理プロセスが不十分、または存在しないこと。次の作業に移るために変更を急いで完了させようとするIT担当者。さらに、適切な構成設定に対する理解不足の可能性です」と同氏は述べた。
また、システムのオペレーティングシステムやデータベース技術をアップグレードした際に、デフォルトで有効化される不要なサービスやプロトコルが削除または無効化されない場合にも、設定ミスはよく発生すると同氏は述べた。
「正式な変更管理プロセスには、必要なセキュリティ構成設定が実装されていることを確認するためのチェックリストを含めるべきです」と同氏は述べた。「システムのアップグレードや更新によって、セキュリティ設定が望ましい水準より安全性の低いデフォルト状態に戻ってしまうことがあります。良い慣行は、1人が変更を行い、別の人がその作業を確認することです」
「このような職務分離により、変更を行う人が重要な点を見落とす可能性が低くなります」
IT変更をサードパーティベンダーが担当する場合でも、同じ変更管理の原則が適用されるとフリッケ氏は述べた。「ベンダーは、どのような変更を、いつ、どのように、誰が行うのか、そしてロールバック計画が何であるかを通知しなければなりません。さらに、顧客は変更後に、可能な範囲でセキュリティ設定の確認を含め、システムの機能をテストすべきです」
翻訳元: https://www.databreachtoday.com/illinois-notifies-700000-misconfiguration-breach-a-30486
