- TriZetto Provider Solutionsの侵害により、70万人超の個人の機微なデータが漏えい
- 盗まれた情報には氏名、SSN、保険会社の詳細、会員番号が含まれる
- 侵害により、TPSの親会社であるCognizantに対する集団訴訟が提起された
TriZetto Provider Solutions(TPS)のデータ侵害の影響を受けた人数は、当初の想定を大きく上回り、現在は70万人を超えたとみられている。
TPSの顧客の一社であるDeschutes County Health Services(DCHS)は、同社サイトに掲載した最近のデータ侵害通知でこのニュースを確認した。
データ侵害通知書では、TPSが2025年10月に不正な活動を検知して調査を開始し、その結果、脅威アクターがほぼ1年前の2024年11月に侵入していたことが判明したとされている。それ以降、70万人超の人々に関する機微な個人情報および医療関連データが持ち出されていた。
被害者への恐喝
データはTPSの顧客に属するもので、影響を受けた組織にはDeschutes County Health Services、Best Care、La Pine Community Health Centerなどが含まれるという。これらの企業自体が侵害されたわけではなく、侵害はTPSのインフラ内でのみ発生した。
漏えいしたデータは個人によって異なるが、一般的には氏名、住所、生年月日、社会保障番号(SSN)、医療保険会社名、医療保険の会員番号、医療提供者名などが含まれる。
DCHSは、医療診断や治療に関する情報、および支払いデータは攻撃で取得されていないと強調した。
TriZetto Provider Solutionsは医療テクノロジー企業で、Cognizantの子会社として、医療機関に対し収益サイクル管理および請求処理のためのソフトウェアとサービスを提供している。
顧客にはDenver Health and Hospital Authority、EmblemHealth、Bucksport Regional Health Centerなどが含まれる。
攻撃がどのように行われたのか、また脅威アクターが誰なのかは正確には分かっていない。記事執筆時点では、このデータが攻撃に悪用された事例はまだ確認されていないが、さまざまな詐欺に利用され得る。例えば、犯罪者が医療保険会社を装って高度に標的化した詐欺やフィッシングを行い、さらなる情報を引き出したり、支払いをさせたりする可能性がある。
また、保険の会員番号や保険会社の詳細を使って医療サービスや処方薬を入手したり、偽の保険請求を提出したりする医療ID詐欺を行うこともできる。
The Registerによると、この侵害によりCognizantに対して複数の集団訴訟が提起された。
