ハワイ大学がんセンターは最近、研究参加者の機微なデータが取得された、2025年8月のランサムウェア攻撃について公表しました。ハワイ大学がんセンターはハワイ大学(UH)システムの一部で、ホノルルのカカアコ地区に所在し、州内で唯一、米国国立がん研究所(NCI)指定のセンターです。同センターのプレスリリースおよび州司法長官への侵害報告によると、同センターのコンピュータネットワークへの不正アクセスは、2025年8月31日頃に発見されました。
影響を受けたサーバーは隔離され、不正行為の性質と範囲を特定するための調査が開始されました。ハワイ大学がんセンターは、ランサムウェア集団が同センターのネットワークに侵入し、ファイルを暗号化し、患者情報を含む研究ファイルを持ち出したことを確認しました。ハワイ大学がんセンターによれば、電子カルテシステムは影響を受けなかったものの、患者の保護対象保健情報(PHI)を含むファイルが取得されました。
盗まれたファイルの大半は、単一の研究プロジェクトに関連するものでした。これらのファイルの精査により、一部には1990年代にさかのぼる研究参加者の社会保障番号が含まれていたことが判明しました。ハワイ大学がんセンターは、1990年代には社会保障番号が患者識別子として使用されていたが、その慣行はその後中止され、現在は代替の識別子が使用されていると述べました。
盗まれたデータの性質が極めて機微であることから、UHは脅威アクターと関与するという難しい決断を下しました。ハワイ大学がんセンターは、第三者のサイバーセキュリティ専門家と協力して暗号化データを復旧するための復号ツールを入手し、盗まれたデータの公開を防ぐために身代金を支払ったと述べました。盗まれたデータはすべて削除されたとの保証を受けています。
研究とは無関係のファイルについても、患者データが含まれているかどうかを判断するための確認が継続されています。影響を受けた個人への通知書はまだ送付されていませんが、最新の連絡先情報が入手でき次第、郵送される予定です。ハワイ大学がんセンターは、影響を受けた個人に対し、無償のクレジット監視および本人確認情報の盗難(ID盗難)保護サービスを提供すると述べました。
身代金が支払われたにもかかわらず、ファイル暗号化の範囲が広かったため、暗号化されたファイルの復旧と影響を受けたシステムの復元には時間を要しています。既存のファイアウォールを追加のセキュリティ制御を備えた新しいファイアウォールに置き換えることや、24時間365日の監視を備えた新しいエンドポイント保護ソフトウェアの導入など、セキュリティ強化のための追加対策が実施されました。ハワイ大学がんセンターは、第三者のサイバーセキュリティ専門家が同センターのセキュリティ制御を評価し、検証したと述べました。
本件は規制当局に報告されていますが、ファイルの精査がまだ完了していないため、影響を受けた個人数はまだ公表されていません。
翻訳元: https://www.hipaajournal.com/university-of-hawaii-cancer-center-ransomware-data-breach/
