ミズーリ州社会サービス局は、IBMがMOVEitデータ盗難攻撃を受けた後、保護されていたメディケイド医療情報がデータ侵害によって流出したと警告した。
この攻撃は、Clop ランサムウェア ギャングによって行われ、CVE-2023-34362 として追跡されたゼロデイ脆弱性を使用して、5 月 27 日にMOVEit Transfer サーバーのハッキングを開始しました。
これらの攻撃により、攻撃者は企業、教育機関、連邦政府機関、地方州機関を含む世界中の 600 以上の企業からデータを盗むことができました。
ランサムウェアギャングは、これらの攻撃により 7,500 万ドルから 1 億ドルを稼ぐと予想されています。
ミズーリ州の健康データが暴露される
昨日、ミズーリ州社会サービス局は、州内のメディケイドサービスに関連する健康情報が漏洩したデータ侵害を明らかにしました。
「ミズーリ州社会サービス局 (DSS) は、2023 年 5 月に IBM コンサルティング (IBM) で発生した、Progress Software の MOVEit Transfer ソフトウェアに関連するデータ セキュリティ インシデントに対応しています」と DSS データ漏洩通知には記載されています。
「IBM は、適格なミズーリ州民にメディケイド サービスを提供する州機関である DSS にサービスを提供するベンダーです。データの脆弱性は DSS システムに直接影響を与えませんでしたが、DSS に属するデータに影響を与えました。DSS はこのインシデントに対して直ちに措置を講じました。進行中です。」
IBMは昨日までに、同社のMOVEit Transferサーバーがこれらの攻撃で侵害され、データの盗難が可能になったことを確認した。
「IBMはミズーリ州社会福祉局と協力して、Progress Softwareが提供するIBM以外のデータ転送プログラムであるMOVEit Transferに関わる事件の影響を特定し、最小限に抑えることに取り組んできた」とIBMは声明で述べた。
「Progress からセキュリティ情報を受け取った後、ミズーリ州民とそのデータへのさらなる影響を避けるために、MOVEit Transfer と同省の IT システムとのやり取りを遮断しました。影響を受けた IBM システムはありませんでした。」
DSS は盗まれたデータを分析した結果、そのデータにはミズーリ州のメディケイド参加者向けに保護された健康情報が含まれていることを確認しました。
「この事件に関係する情報には、個人の名前、部門顧客番号(DCN)、生年月日、考えられる給付資格ステータスまたは補償範囲、および医療請求情報が含まれる可能性があります」とDSS通知には説明されています。
「DSS はまだこのインシデントに関連するファイルを調査中です。完了までにはしばらく時間がかかります。これらのファイルはサイズが大きく、平易な英語ではなく、フォーマットのせいで読みにくくなっています。」
同庁は、調査の結果、暴露された社会保障番号は2件のみで、銀行情報は特定されていないことが明らかになったと発表した。
DSS は、盗まれたファイルのサイズとその形式により、データを分析してデータ侵害の範囲を完全に特定するには時間がかかる可能性があると警告しています。
しかし、DSSは、細心の注意を払って、2023年5月に登録されたすべてのミズーリ州メディケイド参加者に通知を送信すると述べた。
ミズーリ州社会福祉局は、脅威アクターが新しい口座を開設したり、自分の名前でお金を借りたりするのを防ぐために、個人の信用を凍結することを提案しています。
同庁はまた、影響を受ける人々に対し、異常な活動がないか信用報告書を監視するよう推奨している。
MOVEit Transfer 攻撃は、ルイジアナ州とオレゴン州の陸運局を含む他の州機関にも影響を与えており、同局は 6 月に何百万もの州 ID が盗まれたと警告しました。
Comments