

ユナイテッドヘルスのハッキングにより、1億人を超えるアメリカ人の個人情報と健康データが流出した。同社がセキュリティ侵害の具体的な数字を公表したのはこれが初めてだ。
2月にChange Healthcareへのランサムウェア攻撃が行われたが、同社がその「前例のない規模」を明らかにしたのは昨日のことだ…
ユナイテッドヘルスのハッキング
Bleeping Computer は、この暴露はゆっくりと進行していると報じている。
ユナイテッドヘルスは、チェンジ・ヘルスケアのランサムウェア攻撃により1億人以上の個人情報と医療データが盗まれたことを初めて確認した。これは近年で最大の医療データ侵害となった。
5月、ユナイテッドヘルスのCEOアンドリュー・ウィッティ氏は議会公聴会で、この攻撃で全アメリカ人の健康データの「おそらく3分の1」が漏洩したと警告した。
1か月後、チェンジ・ヘルスケアはデータ漏洩通知を発表し、2月にチェンジ・ヘルスケアに対して行われたランサムウェア攻撃により「アメリカのかなりの割合の人々」の「大量のデータ」が漏洩したと警告した。
本日、米国保健福祉省公民権局のデータ侵害ポータルは、影響を受けた人の総数を1億人に更新し、Change Healthcareの親会社であるUnitedHealthが侵害の公式数字を発表したのは初めてとなった。
漏洩した情報の機密性はその規模と同じくらい懸念されるものでした。
- 健康保険情報(主要、二次またはその他の健康保険プラン/ポリシー、保険会社、会員/グループ ID 番号、メディケイド、メディケア、政府支払者 ID 番号など)
- 健康情報(医療記録番号、医療提供者、診断、薬、検査結果、画像、ケア、治療など)
- 請求、請求、支払い情報(請求番号、口座番号、請求コード、支払いカード、金融および銀行情報、支払済、未払い残高など)および/または
- 社会保障番号、運転免許証番号、州 ID 番号、パスポート番号などのその他の個人情報。
実際に表示されるデータは個人によって異なる場合があります。
信じられないことに、同社の Citrix リモート アクセス サービスでは 2 要素認証が有効になっていなかったため、盗まれた資格情報を使用して攻撃が可能になりました。
同社のコンピュータが暗号化される前に、6TBもの膨大なデータが抽出され、医師と患者双方に混乱を招いた。同社は復号鍵の入手に身代金を支払ったことを認め、2,200万ドルを支払ったと報じられている。
さらに事態を悪化させたのは、この攻撃を組織犯罪グループ「BlackCat」の「関連組織」が実行したことです。BlackCatは関連組織に対し、身代金の100%を支払わずに身代金を全額保持したと報じられています。その後、関連組織はデータを公開しない代わりに新たな身代金を要求し、UnitedHealthもこの2度目の身代金を支払ったことを示唆する証拠があります。
写真は国立がん研究所(Unsplash)より
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。