TriZettoのデータ侵害による影響が続く中、オレゴン州の住民がさらに数千人、まもなくデータ侵害通知の書簡を受け取る見込みだ。この侵害では、何者かが保険確認プロバイダーをハッキングし、米国の複数州にまたがる同社の医療提供者顧客へのアクセスを得た。
侵害が発生したのは2024年11月で、侵入者は保護対象保健情報(PHI)や、数十万人の患者および保険契約者に関するその他の機微な個人情報を覗き見していた。TriZetto Provider Solutions(TPS)がネットワーク上のデジタル窃盗犯に気づいたのは、それからほぼ1年後だった。
「TPSは、脅威が2025年10月2日に排除され、70万人超のPHIが漏えいした可能性があると報告している」と、オレゴン州中部の患者にサービスを提供するデシューツ郡保健サービス、ベストケア、ラ・パイン・コミュニティ・ヘルスセンターが木曜日に出した勧告には記されている。
このオレゴン州の3つの医療提供者は、マサチューセッツ州、オクラホマ州、そして数十の他の医療クリニックがあるカリフォルニア州の医療機関とともに、2025年12月上旬に通知を受けた。
デシューツ郡によれば約1,300人の患者が影響を受け、ラ・パインは約1,200人に通知し、ベストケアは約1,650人に対し、健康情報が漏えいしたことを通知するという。医療機関側は、現時点で人々の情報が医療詐欺やなりすまし詐欺などに悪用された証拠はなく、侵害で金融情報が盗まれたわけでもないとしている。
TriZettoを所有するCognizantは、この侵害を受けて複数の集団訴訟を起こされている。
「10月2日、TPSは、TPSの医療提供者顧客の一部が当社システムにアクセスするために使用しているウェブポータル内で不審な活動を認識した」とCognizantはThe Registerに語った。「当社は迅速に調査を開始し、問題を緩和するための措置を講じ、環境に対する脅威を排除した。また、外部のサイバーセキュリティ専門家であるMandiantを起用し、法執行機関にも通報した。影響を受けた顧客と患者に通知し、必要な支援と情報を提供している。これは身代金(ランサム)事案ではない。」
Cognizantが自社のセキュリティ対策――あるいはその欠如――をめぐって法廷沙汰になったのは、これが初めてではない。
7月には、Cloroxが、サービスデスク提供者であるCognizantを相手取り、カリフォルニア州の州裁判所で3億8,000万ドルの損害賠償を求めて提訴した。これは、ITサポート要員が、攻撃者が求めただけで従業員のパスワードを攻撃者に渡したことで、2023年のサイバー攻撃において「サイバー犯罪者がCloroxのネットワークに足場を築くことを可能にした」とされる件をめぐるものだ。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/30/trizetto_health_data_stolen/
