- Archer Healthが保護されていない公開データベースを通じて14万5,000件の機微なファイルを流出
- 漏洩したデータには氏名、社会保障番号、診断内容、その他の個人情報や医療情報が含まれていた
- 研究者の指摘によりデータベースは保護されたが、現時点でダークウェブ上での流通は確認されていない
Archer Healthは、米国を拠点とする在宅医療および緩和ケアのサービス提供者ですが、保護されていないデータベースをインターネット上に公開しており、専門家によれば、場所を知っていれば誰でも機微な個人情報や健康データにアクセスできる状態だったと警告しています。
サイバーセキュリティ研究者のJeremiah Fowler氏は、このデータベースを発見し、WebsitePlanetに通報し、データベースの保護に協力しました。
Fowler氏は、暗号化もパスワード保護もされていないデータベースを発見し、そこには約14万5,000件のPDF、PNGなどのファイルが含まれていました。これらには各種アセスメント、在宅医療認定書、ケア計画書、退院書類、その他の内部文書が含まれていました。
データベースの保護
これらのファイル(合計23GB)は、氏名、患者ID番号、社会保障番号、住所、電話番号、その他の個人を特定できる情報(PII)も含まれていました。その他の文書には診断内容、治療内容、その他の機微な医療データが記載されていました。
Archer Health(Archer Home Health/Home Health & Palliative Careとしても知られる)は、在宅医療サービスの提供者です。同社は、熟練看護、リハビリ(理学療法、言語療法、作業療法)、栄養指導、医療ソーシャルワーク、ホームヘルスエイド、創傷ケアなど、患者の自宅で提供しています。
また、同社は緩和ケアも提供しており、重篤または慢性疾患の患者に対して症状緩和、疾患管理、快適さ、サポートに重点を置いています。
Fowler氏が連絡した直後、同社はデータベースを保護し、研究者に感謝の意を伝えました。
「ご指摘いただきありがとうございます」とArcher HealthはFowler氏に伝えました。「当社はデータセキュリティと患者のプライバシーを非常に重視しています。現在、当社チームが本件を積極的に調査し、セキュリティ上の問題には迅速に対応いたします。」
適切なフォレンジック分析を行わない限り、Fowler氏が発見する前に誰かがデータベースへアクセスしたかどうかは判断できません。現時点で、このデータベースがダークウェブ上で流出した証拠はありません。また、どれくらいの期間アーカイブが公開されていたのか、管理者がArcher Healthなのか第三者なのかも不明です。
