2025年5月、オハイオ州の医療システムであるケッタリング・アドベンチスト・ヘルスケア(ケッタリング・ヘルス)がランサムウェア攻撃を受けました。攻撃は2025年5月20日に検出され、調査の結果、ランサムウェアグループが2025年4月9日にネットワークに初めてアクセスし、2025年5月20日まで継続的にアクセスしていたことが判明しました。Interlockランサムウェアグループが攻撃の責任を主張し、ケッタリング・ヘルスをダークウェブのデータリークサイトに追加しました。Interlockは941GBのデータを流出させたと主張し、身代金が支払われなかったときに盗まれたデータを漏らしました。
HHS民間権オフィスは2025年7月21日に、攻撃で保護された健康情報が侵害されたことを知らされました。OCRには最初、少なくとも501人の個人について予備的な見積もりが提供されました。2025年10月までに、ケッタリング・ヘルスが攻撃で侵害された患者データの種類を確認するのにかかりましたが、当時もファイルレビューは進行中でした。HIPAA Journalはオフィス・フォー・シビル・ライツのデータ侵害ポータルを監視してきましたが、影響を受けた個人の数について最新情報を報告することができ、保護された健康情報が1,695,382人の個人で侵害されたことが示されています。
事件で侵害されたデータには、名前、社会保障番号、金融口座番号、運転免許証番号、医療および/または治療情報、健康保険情報、請求および/または保険請求情報、パスポート番号、および/またはユーザー名と関連パスワードが含まれます。影響を受けた個人には無料のクレジット監視とID盗用保護サービスが提供され、同様の事件のリスクを低減するための措置が講じられました。
2026年3月11日:ケッタリング・ヘルス ランサムウェア攻撃に対して数十の訴訟が提起
2025年のランサムウェア攻撃に関連してケッタリング・ヘルスに対し、数十の訴訟が提起されました。この攻撃にはデータ盗難と医療ケアの遅延が関わっています。HIPAAジャーナルは2025年5月の初期発表後、昨年このランサムウェア攻撃とデータ侵害をカバーしました(以下参照)。攻撃が発生してから10ヶ月が経過していますが、影響を受けた個人の数はまだ確認されていません。HHS民間権オフィスのデータ侵害ポータルは、依然として500人の影響を受けた個人の初期予備見積もりでこの事件を記載しています。
Interlockランサムウェアグループは941GBのデータとファイルを暗号化したと主張し、身代金が支払われなかったときに盗まれたデータを公開しました。ケッタリング・ヘルスは約600のデジタルアプリケーションをシャットダウンせざるを得なくなり、従業員はペンと紙を切り替えて患者情報を記録しました。攻撃は2025年5月20日に発生し、ケッタリング・ヘルスはシステムを復旧する際に予約をキャンセルせざるを得ませんでした。Epicの電子医療記録システムが復旧されるまで2025年6月2日まで要し、通常の運用が再開されるまでさらに1週間かかりました。ケッタリング・ヘルスは通常の運用が2025年6月10日に再開されたと述べています。
個人および保護された健康情報の開示または盗難のためにヘルスケアデータ侵害に続いて集団訴訟が避けられないようになっていますが、この場合、多くの訴訟は医療ケアの遅延の疑いについて提起され、場合によってはケアの拒否について提起されています。 多くの影響を受けた患者を代理しているオハイオ州ヴァンダリアを本拠とする法律事務所ライト・アンド・シュルテ・エルエルシーによると、ケッタリング・ヘルスに対する44の個別訴訟がオハイオ州モンゴメリー郡民事通常裁判所の単一の告訴で統合されています。 その44の訴訟のうち、37はケッタリング・ヘルスが治療を遅延させたことを主張し、8はケアの拒否を主張しています。攻撃によってシステムがオフラインになってから約3週間でしたが、治療の遅延はより広範でした。訴訟に参加している一部の患者は、数ヶ月後に予約が変更されたと主張し、一部は処方箋の遅延を経験し、他の患者は予約がまったく変更されていないと主張しています。
弁護士らは、ランサムウェア攻撃に対する継続計画がなかったこと、そしてケッタリング・ヘルスが「患者の診療をやめ、電話を受け取るのをやめ、みんなを追い返し始めた」と主張しています。一部の患者はがん治療と他の重要なケアを受けており、重要な医薬品へのアクセスがありませんでした。
統合訴訟は、過失、重大な過失、感情的苦痛、および契約違反の請求を主張しています。原告は25,000ドルを超える損害賠償、および懲罰的損害賠償、弁護士費用および法的費用を求めています。攻撃の結果として生じた傷害の補償に加えて、原告はケッタリング・ヘルスが同様の事件を防ぐためのセキュリティに必要な改善を行うことを望んでいます。
2025年10月17日:ケッタリング・ヘルスが2025年5月のランサムウェア攻撃で患者データが侵害されたことを確認
ケッタリング・ヘルスが2025年5月20日のランサムウェア攻撃についての最新情報を提供しました。調査により、Interlockランサムウェアグループが2025年4月9日にネットワークに初めてアクセスし、攻撃が検出され不正アクセスがブロックされた2025年5月20日までアクセスを保持していたことが確認されました。その間、ランサムウェアグループは患者情報を含むファイルにアクセスするか、ファイルをコピーしました。
ケッタリング・ヘルスは攻撃から復旧する進捗について定期的な更新を提供しており、ファイルレビューを完了しました。レビューにより、現在の患者と元の患者が攻撃で以下の情報を侵害されていたことが確認されました。名前、連絡先情報、生年月日、社会保障番号、患者ID番号、医療記録番号、医療情報、治療情報、診断情報、健康保険情報、運転免許証/州ID番号、金融口座情報、および/または教育記録。
ケッタリング・ヘルスは、データセキュリティに関連する方針、手順、およびプロセスを見直し、将来同様の事件を防ぐための措置を講じたと述べています。ケッタリング・ヘルスは、公開された情報の悪用は認識していないと述べており、患者にID盗難および詐欺から身を守る方法に関する情報を提供しています。無料のクレジット監視とID盗用保護サービスが提供されたようには見えません。
データ侵害は2025年7月21日にHHS民間権オフィスに、少なくとも501人の影響を受けた個人の予備見積もりを使用して報告されました。合計はまだ更新されていないため、影響を受けた個人の数はまだ不明です。
2025年6月13日:ケッタリング・ヘルス ランサムウェア攻撃後、主要サービスの通常運用を再開
3週間かかりましたが、ケッタリング・ヘルスが2025年5月20日のInterlockランサムウェア攻撃後の主要サービスの通常運用を再開したことが確認されました。ケッタリング・ヘルスはシステム復旧の進捗について定期的な更新を発表してきており、Epicの電子医療記録システムの主要コンポーネントが2025年6月2日の朝に復旧されたことを確認し、患者データを入力でき、紙に記録されたバックログが患者記録に入力され始めました。
Interlockはネットワークとシステムへのアクセスが攻撃が発見されたときに直ちに終了され、ケッタリング・ヘルスが2025年6月5日に、ランサムウェアグループのすべてのツールと永続メカニズムがシステムから根絶されたことを確認しました。ケッタリング・ヘルスはまた、すべてのシステムが最新バージョンのソフトウェアとパッチが適用されていることを完全に確認し、ネットワークセグメンテーション、強化されたモニタリング、および更新されたアクセス制御を含むセキュリティの強化が実装されました。ケッタリング・ヘルスは、そのサイバーセキュリティフレームワークと従業員のセキュリティトレーニングが将来のリスクを軽減するのに十分であると確信していると述べています。
事件対応全体を通じた主な目的は、すべてのネットワークに接続されたデバイスが安全であることを確認し、パートナーとの接続が完全に保護されていることを確認しながら、患者にまだ良質のケアが提供されていることを確認することでした。ケッタリング・ヘルスは、主な焦点がシステムの保護から患者通信システムと予約システムが完全に復旧されていることを確認することに変わったと述べています。
2025年6月9日、ケッタリング・ヘルスが患者のMyChartアクセスが限定的に復旧されたことを確認し、患者は今後の予約を表示し、予約をスケジュールし、処方箋を表示して払い戻しを入力し、テスト結果を表示し、プロバイダーにメッセージを送信することができました。すべての手術も再開されました。 2025年6月10日、ケッタリング・ヘルスは手術、画像処理、小売薬局、医師の診察を含むいくつかの主要サービスの通常運用が再開されたことを発表しました。MyChartアクセスが完全に復旧され、電話線が機能的で安定していました。
復旧プロセスはさらなるシステムの復旧を継続し、データ分析はデータ盗難の程度を判断するために進行中です。影響を受けた個人の数の見積もりはまだ提供されていません。HHS民間権オフィスに登録された501人の個人の予備値のみです。影響を受けた個人への個別通知レターは、クレジット監視と詐欺保護サービスに関する情報を含めて、可能な限り早期に郵送されます。
2025年6月5日:ケッタリング・ヘルス ランサムウェア攻撃:Interlockランサムウェアグループが盗まれたデータを漏らす
ケッタリング・ヘルスは2025年5月20日のランサムウェア攻撃からの復旧を継続して進めています。EHRは復旧されましたが、他のITシステムはオフラインのままで、オハイオ州の医療センターと外来施設で継続して混乱が発生しています。今週初め、ケッタリング・ヘルスは、患者データの小さなサブセットが攻撃で盗まれたことを確認する更新を発表しましたが、データ侵害の程度はまだ確認されていません。
ケッタリング・ヘルスはこの事件の背後にあるランサムウェアグループの名前を明かしていませんが、CNNは身代金ノートのコピーを見たことを主張し、Interlockランサムウェアグループが責任を負っていることを示しました。今週、Interlockは攻撃の責任を主張し、ケッタリング・ヘルスをダークウェブのデータリークサイトに追加し、盗まれたデータをダウンロード用にリストしました。身代金が支払われなかったことを示しています。
Interlockはケッタリング・ヘルスから941GBのデータを盗んだと主張し、その後ファイルを暗号化するためにランサムウェアを使用しました。盗まれたデータには、20,418個のフォルダにわたって732,490個のファイルが含まれています。HIPAAジャーナルはデータをダウンロードしていないため、患者および従業員データが侵害された程度を確認することができません。フォルダおよびファイル名に基づいて、盗まれたデータには給与情報、従業員ファイル、身分証明書のスキャン、警察セキュリティ職員ファイル、メディケイド申請書、薬局および血液銀行の書類、財務収益レポート、企業保険ファイル、企業税情報、予算レポート、および患者ファイルが含まれているようです。
2025年6月3日:ケッタリング・ヘルス ランサムウェア攻撃後にEHRを復旧
ケッタリング・ヘルスは、2025年6月2日の朝にEpicの電子医療記録(EHR)システムの主要コンポーネントを復旧したと述べており、患者情報を電子医療記録に直接入力することが可能になりました。停止中に手動で記録された患者情報は、患者のデジタル医療記録に追加できるようになりました。EHRの復旧により、ケアチームはより効果的に通信でき、患者ケアをより大きな速度と明確さで調整できます。
ケッタリング・ヘルスは、情報システムチーム、臨床チーム、およびソフトウェア企業Epicから200人以上が過去2週間で24時間体制で働いてこの時点に到達したと述べています。「これは、より広い復旧努力における大きなマイルストーンであり、通常の運用への復帰に向けた重要な措置を示しています」とケッタリング・ヘルスは説明しました。 他のITシステムの復旧を継続しており、MyChart患者ポータルおよび受信および送信電話線を含みます。ケッタリング・ヘルスは、その救急部門がもう転送中ではなく、その基本的なケア場所が確立された患者へのウォークイン・ケアを提供していることを確認しました。 ケッタリング・ヘルスのCEOマイケル・ジェントリーはまた、ケッタリング・ヘルス患者の「小さなサブセット」のデータに対する不正アクセスがあったことを確認しました。データ侵害への調査は進行中であり、調査が終了したときに影響を受けた個人へ通知レターが郵送されます。
2025年5月30日、ケッタリング・ヘルスは、詐欺通信に関する従業員、パートナー、コミュニティメンバーへの更新を提供しました。これは電話、テキストメッセージ、およびメールを含む場合があります。ジェントリーは、これらの通信は「脅迫し、応答を要求するか、データ露出を主張するために設計されている」と説明しました。ジェントリーは、公衆に注意を払うこと、リンクをクリックしないこと、添付ファイルを開かないこと、通信に応答しないことを勧めました。そしてサイバー攻撃について電話で連絡された場合は、すぐに切ってください。悪意のあるか疑わしい通信はすべて警察に報告する必要があります。
2025年5月21日:ランサムウェア攻撃がケッタリング・ヘルスでシステム全体の停止を引き起こす
ケッタリング・アドベンチスト・ヘルスケア(ケッタリング・ヘルス)は、西オハイオ州に14の医療センターと120の外来施設を持つ大規模な医療システムで、「システム全体のテクノロジーの停止」を経験し、14の医療センターすべてに影響を与えました。停止は2025年5月20日火曜日の午前に発生し、重要なITシステムへのアクセスがなければ、火曜日にスケジュールされた入院患者および外来手術をキャンセルする決定が下されました。
医療センターは開いたままで、救急室は患者の受け入れを継続しています。スタッフはITシステムがオフラインのときに、確立されたダウンタイム手順に取り組み、ペンと紙に患者情報を記録するために戻っています。ITチームは、事件を調査し、システムを安全かつ安全にオンラインに戻すために24時間体制で働いています。 「これらの状況のための手順と計画がありますし、現在私たちの施設にいる患者に対して安全で高品質なケアを提供し続けます」とケッタリング・ヘルスはウェブサイト発表で説明しました。
身代金ノートのコピーを取得したCNNによると、これはInterlockランサムウェアグループによるランサムウェア攻撃でした。これはヘルスケア部門への2重勒索攻撃の歴史を持つ脅威グループです。Interlockランサムウェアグループはネットワークを侵害し、関心のあるデータを特定し、ファイルを流出させ、ランサムウェアを使用してファイルを暗号化します。盗まれたデータのダークウェブのデータリークサイトへの公開を防ぎ、データの復号化キーを取得するには、身代金を支払う必要があります。 Interlockは、腎臓透析サービスの巨人Davitaへの最近のランサムウェア攻撃、マサチューセッツのブロックトン・ネイバーフッド・ヘルス・センター、ペンシルベニアの薬物およびアルコール治療サービス 、およびテキサス工科大学ヘルス・サイエンセス・センターの背後にあります。
「2024年10月に最初に出現して以来、このグループを通じて16件の確認された攻撃 を追跡してきたほか、さらに17件は関係者によってまだ確認されていません。今日、Interlockはまた、西ロシアン・カウンシル英国への大規模な攻撃を主張してきており、学校ネットワークを1週間以上混乱させています」とComparitech Data Research Head Rebecca MoodyはHIPAAジャーナルに語りました。「ケッタリング・ヘルスへのこの攻撃はまだその初期段階にありますが、Interlockがデータを盗んでいた可能性が高く、身代金要求が満たされなかった場合はこれをリリースするでしょう。」
調査はまだ初期段階であり、ケッタリング・ヘルスはまだ、患者データがどの程度盗まれたかについて述べることができる立場にはありません。医療システムはこの停止がサイバー攻撃によって引き起こされたことを確認しましたが、これがランサムウェア攻撃であることは検証していません。Interlockランサムウェアグループは、「最も重要なファイルを保護した」と主張し、ケッタリング・ヘルスが支払いの交渉を拒否した場合、盗まれたデータを公開すると脅迫しています。
発表から数時間以内に、ケッタリング・ヘルスは詐欺電話に関する警告を発表しました。「ケッタリング・ヘルスチームメンバーであると主張し、医療費のためのクレジットカード支払いを要求する詐欺電話が発生したことを確認しました」とケッタリング・ヘルスは説明しました。「ケッタリング・ヘルスが患者に医療費の支払いオプションを議論するために電話で連絡するのが慣例ですが、豊富な注意の中で、さらなる通知までは医療費の電話での支払いを要求または受け取るための電話をしません。」
詳細情報が利用可能になると、この投稿は更新されます。
翻訳元: https://www.hipaajournal.com/kettering-health-ransomware-attack/
