大手ヘルスケア技術プロバイダーのCareCloud, Inc.は、認可されていない第三者が電子健康記録(EHR)環境の1つに侵入し、機密の患者データが漏洩する可能性があるという重大なサイバーセキュリティインシデントを開示した。
侵入は2026年3月16日に最初に検出され、CareCloud Health部門が予期しないネットワーク障害を経験した。
攻撃者は同社の6つのEHR環境の1つに正常に侵入し、約8時間のデータアクセス制限をトリガーした部分的なシステム障害を引き起こした。
内部セキュリティチームは同じ夜遅くに機能を完全に復元した。CareCloudはまた発見当日に脅威を封じ込め、攻撃者がネットワーク全体に広がることを防いだ。
2026年3月24日、CareCloudは米国証券取引委員会(SEC)に対するForm 8-K提出を通じてインシデントを正式に開示し、ヘルスケアIT環境への一時的な混乱と機密患者情報の潜在的な漏洩を確認した。
侵害された環境は患者の健康情報を積極的に保存しており、データ漏洩が主な懸念事項となっている。
セキュリティ研究者は現在、脅威行為者が保護された健康データに正常にアクセスしたか、または流出させたかを判定するため、システムログを分析している。
盗まれた情報の正確な量と具体的なカテゴリーは評価中のままである。重要なことに、セキュリティチームは攻撃者がネットワーク全体で横方向に移動するのをブロックされたことを確認した。漏洩は他のプラットフォーム、事業部門、または企業システムに広がらなかった。
不正アクセスを発見したら、CareCloudはすぐにインシデント対応プロトコルを発動した。同社は外部デジタルフォレンジックスを実施し、侵害されたインフラストラクチャの保護を支援するため、Big Four会計事務所のトップサイバー対応アドバイザリーチームと契約した。
CareCloudはまた、侵入を連邦執行当局に報告し、サイバーセキュリティ保険キャリアに通知した。
セキュリティ担当者は将来の悪用を防ぐため、同社のITインフラストラクチャを積極的に強化している。
技術的な混乱をすぐに解決したにもかかわらず、CareCloudは現在のSEC報告要件に基づいてイベントを重大なサイバーセキュリティインシデントに分類した。
この指定は、潜在的に侵害されたヘルスケアデータの高い感度とHIPAAおよび他のデータプライバシー法による重大な規制上の影響によって推進された。
同社は法的問題、規制通知、および修復努力に関連するコストが予想されるが、CareCloudはこの漏洩が全体的な財務状況または日常業務に重大な影響を与える可能性は低いと述べた。
ヘルスケア組織は、暗黒ウェブマーケットでの保護されたヘルスケア情報の高い価値のため、脅威行為者の主要な目標のままであり、堅牢なEHRセキュリティ衛生がこれまで以上に重要になっている。
翻訳元: https://cyberpress.org/carecloud-data-breach/