収益サイクル管理ソフトウェア企業が、関連する複数の医療診断検査機関の患者に対し、11月のハッキング事件で診断や医療処置を含む機密情報が盗まれたことを通知している。
ランサムウェアグループEverest Groupがこの事件の犯行を主張し、盗んだデータを自らのリークサイトで公開した。
テキサス州に本社を置くCatalyst RCMは、少なくとも3つの診断検査機関クライアントの患者に対し、人数非公表の侵害通知書を送付している。
これらの検査機関クライアントには、病理検査サービス企業のKorPath、病原体検出を専門とする分子診断検査機関のKorgene、抗生物質耐性検査および関連サービスを専門とするVikor Scientificが含まれる。
KorgeneはVikor Scientificの一部であり、同社は最近Vanta Diagnosticsに社名を変更した。KorPathも自社ウェブサイトで、一部の検査サービスについてVanta Diagnosticsと提携していると述べている。
Catalystは侵害通知書の中で、3つの検査機関に医療コーディングおよび請求サービスを提供していると述べた。
通知書の中で、Catalyst RCMは2025年11月13日に「セキュアファイル管理システム内で保持されている特定の情報に関連する不審な活動を認識した」と述べた。
内部調査により、ハッカーが2025年11月8日から11月9日にかけて、認証されたログインIDとパスワードを使用してサーバーにアクセスしたことが判明した。データは許可なくコピーされ「データの不正使用を引き起こした」とCatalyst RCMは述べた。
Catalyst RCMは、米国全土の医療提供者に専門的な医療請求、コーディング、ビジネス分析製品およびサービスを提供する「データ中心」の収益サイクル管理企業であると自己紹介している。
Catalyst RCMは自社ウェブサイトに掲載した声明で、事件の余波を受けて、プロトコル、ポリシー、手順を見直し更新したと述べた。
Everest Groupはダークウェブのリークサイトで、Vikor Scientific、Korgene、KorPathを2025年11月の被害者としてリストアップしている。Everestは、これら3つの検査機関すべてのデータが公開されており、企業が期限までにグループの要求に「応じなかった」ため「様々なハッカーフォーラムやリークデータベースサイトに複製されている」と主張している。
Vikor ScientificとKorgeneについて、Everestはそれぞれ9.39ギガバイトと505メガバイトの検査機関データを持っていると主張している。これには、患者の医療記録、請求情報、その他の「個人情報」を含む25,303件のVikor PDFと1,344件のKorgene PDFが含まれるとEverestは主張している。
KorPathのハッキングされたデータベースには1.2GB以上のデータが含まれており、電子医療記録、請求情報、その他の機密情報などの「多種多様な個人文書」を含む7,500件近くのPDFが含まれているとEverestは主張している。
複数の法律事務所が、集団訴訟の可能性を視野にCatalyst RCMの事件を調査していると述べている。
Catalyst RCMは、ここ数ヶ月から数年にわたり重大な医療データ侵害を報告している収益サイクル管理、医療コーディング、請求サービスベンダーの長く増加し続けるリストの一つである(参照:FieldTex、Trizettoが新たな医療侵害を明らかに)。
これまでで最も注目すべき収益管理侵害は、医療セクターに医療コーディング、請求、その他多くの関連ITサービスを提供するUnitedHealth Groupの部門であるChange Healthcareに関わるものだった。
ロシア語圏のランサムウェアグループAlphV/BlackCatによる2024年のChange Healthcareへのサイバー攻撃は、数千のクライアントと米国内の1億9300万人以上の個人に影響を及ぼす医療データ侵害をもたらした。
翻訳元: https://www.databreachtoday.com/billing-services-firm-notifying-medical-lab-patients-hack-a-30727
