ハワイ大学がん研究センターは、昨年の疫学部門へのランサムウェア攻撃の結果として、最大120万人の個人情報が漏洩したと述べている。
ハワイ州運輸局から収集された社会保障番号(SSN)と運転免許証番号、および1998年のホノルル市郡の投票者登録記録を含む記録にハッカーがアクセスした、と先週発表された声明によると。
流出の一部は1993年に確立された多民族コーホート(MEC)研究にまで遡ることができた。大学は運転免許証番号と投票者登録記録を使用して研究の参加者を募集していた。公開されたファイルの一部には健康関連情報が含まれていた。
MEC研究参加者のデータに加えて、食事とがんに関する3つの他の疫学的研究に関連するファイルにアクセスされた。流出調査は現在も進行中であり、他の機密情報がアクセスされたかどうかを確認している。
合計で、研究に参加した87,493人の情報が盗まれたが、大学は「SSN識別子を持つ履歴運転免許証および投票者登録記録に含まれている可能性のある追加の個人の個人情報の数は約115万人である」と述べている。
1月に、大学は州議会に報告書を送付し、サイバー事件が2025年8月31日に最初に発見されたと述べている。
「脅威行為者による暗号化の広範性により、UHが影響を受けたシステムを復元し、データへの影響を評価する立場に至るまでに時間がかかった」と大学は3ページの報告書で述べている。
「調査が進行中の間、UHは機密情報が侵害された可能性のある個人を保護するために、脅威行為者と関わるという困難な決定を下した」
盗まれた情報は、ハワイ大学がん研究センターの疫学研究活動をサポートする特定のサーバー上に、研究ファイルのサブセットに位置していた。ランサムウェア攻撃は、ハワイ大学がん研究センターの臨床試験部門、患者ケア、またはがん研究センターの他の部門の情報には影響を与えなかった。
ハワイ大学がん研究センターのディレクター、上野直人は先週この事件に謝罪し、組織は「透明性にコミットしている」と述べた。
大学は、攻撃者がデータを暗号化し、おそらく流出させたと述べており、法執行機関に通知し、サイバーセキュリティ専門家を雇用して状況を解決した。サイバーセキュリティ企業は復号化ツールを取得し、「取得した情報が破壊された」ことの確認を保証した。
大学当局は「情報が公開、共有、または悪用されたという証拠がない」と主張している。攻撃の責任者は特定されなかった。
「このサイバー攻撃には包括的でシステム全体の対応が必要である。必要に応じて保護を強化していることを確認するために、すべての10キャンパスにわたる情報技術システムの全面的な見直しを開始した」とハワイ大学のウェンディ・ヘンゼル学長は述べている。
ハワイ大学システムは、3つの大学、7つのコミュニティカレッジ、および雇用訓練センターと、6つの島に広がるいくつかの研究施設で構成されている。約50,000人の学生が在籍している。
2023年、ハワイ大学の関連機関であるハワイコミュニティカレッジは独自のランサムウェア攻撃に対処し、またNoEscapeランサムウェアギャングに身代金を支払った。2023年の攻撃により、約28,000人の情報が影響を受けた。
翻訳元: https://therecord.media/university-of-hawaii-ransomware-data-breach
