1990年代にハワイ大学がんセンターの研究に参加したがん患者は、2025年8月の事件でランサムウェアのハッカーに自分たちのデータが盗まれたことについて、近く通知を受け取る可能性がある。同大学の治療センター(州内で唯一、米国国立がん研究所[NCI]指定を受けたセンター)は、ハッキングについて、人数がまだ明らかにされていない個人に通知する予定だ。
専門家は、このハッキングは医療研究データの侵害に伴う懸念すべきリスクを浮き彫りにしていると述べた。
がんセンターは、12月の開示で、復号キーのために身代金を支払い、引き換えにハッカーが盗んだデータを破棄するという約束を得たと州当局に伝えた。
8月31日に検知されたこの事件は、臨床業務や患者ケアには影響しなかった。影響を受けたデータは研究ファイルに含まれており、「がんセンターで、またはがんセンターと連携して治療を受けた患者の診療記録の一部ではなかった」と、がんセンターは述べた。
影響を受けたシステムの調査では、影響を受けたファイルの大半が特定のがん研究に関連しており、主に研究対象者に関する個人情報を含まない研究データのみで構成されていたことが判明した。しかし、1990年代に研究に参加した参加者については事情が異なる。当時は、社会保障番号(SSN)を疑似匿名の識別子として用いることが一般的だった。
同センターは機微な健康データを伴う大規模侵害を辛うじて回避した可能性があるが、ハッキングされた研究データがもたらす影響は極めて憂慮すべきだと専門家は述べた。元ランサムウェア交渉人で、現在はセキュリティ企業Semperisのインシデント対応ディレクターを務めるジェフ・ウィックマン氏は、この事件によりデータの完全性が損なわれた可能性があると述べた。
「一部のランサムウェア集団は、予測不能な形でファイルを上書きしたり、部分的に暗号化したりすることがある」と同氏は言う。「復号キーを入手した後でも、ファイルが即座に検知されないまま破損している可能性がある。さらに悪いことに、キーがまったく機能しないこともある。」
また、追跡可能性が不可欠な科学研究において重要となる、証拠保全(チェーン・オブ・カストディ)の断絶に関する潜在的な懸念もあると同氏は述べた。
「データの一部が変更されるだけでも、結果が歪められ、プログラムが頓挫し、正確な成果を確保するための追加作業が発生する可能性がある」と同氏は言う。
「これは締め切りやプログラムのスケジュールにも影響し得る。がん研究は高価値の知的財産を生み出すこともあるため、組織化されたサイバー犯罪者や国家支援の集団が、この資産を戦略的に価値のあるものと見なす可能性がある。」
Semperisが2025年後半に行った調査では、過去12カ月に標的となった医療分野の回答者(77%)のうち、53%が身代金を支払い、5%は4回を超えて支払ったことが分かったと、ウィックマン氏は述べた。
また、ほとんどのランサムウェア専門家は、データを削除するというデジタル恐喝者の約束を当てにしないよう助言している。ハッカーがその約束を守ることはほとんどなく、多くの場合それを売却したり、二度目の恐喝に利用したりする(参照:ランサムウェアで犯罪者が医療機関の被害者を恐喝する方法)。
事件以降、同センターはデータセキュリティを強化するために複数の対策を講じたと述べている。これには、エンドポイント保護ソフトウェアの導入、侵害されたユーザーアカウントのための「代替アカウント」の作成、パスワードのリセットが含まれる。
さらに同センターは、「すべてのマルウェアが排除されたことを確実にするために侵害されたシステムを再構築し、攻撃者がもはやアクセスできないように新しいアカウント/パスワードを作成した」と述べた。
翻訳元: https://www.databreachtoday.com/cancer-center-hackers-stole-research-files-encrypted-data-a-30509
