コロラド
画像: 旅の途中

コロラド州医療政策・財政局(HCPF)は、個人情報や健康情報に影響を与えたデータ侵害について400万人以上の個人に警告している。

コロラド HCPF は、ヘルス ファースト コロラド (メディケイド) およびチャイルド ヘルス プラン プラス プログラムを管理し、低所得世帯、高齢者、障害のある住民にサポートを提供する州政府機関です。

このデータ侵害は、Clop ランサムウェアが世界中の数百の組織に影響を与えたハッキング キャンペーンで MOVEit Transfer ゼロデイ (CVE-2023-34362) を悪用した後に発生する可能性がありました。

HCPF は、自社のシステムが直接侵害されたわけではないものの、MOVEit ソフトウェアを利用していた請負業者である IBM を通じてデータ漏洩が発生したことを明らかにしています。

「IBMがMOVEitインシデントの影響を受けたことをHCPFに通知した後、HCPFはインシデントが自社のシステムに影響を与えたかどうかを把握し、Health First ColoradoまたはCHP+メンバーの保護された医療情報が無許可の当事者によってアクセスされたかどうかを判断するために直ちに調査を開始した。 」と通知には書かれています

「HCPFは、他のHCPFシステムやデータベースが影響を受けていないことを2023年6月13日に確認しましたが、調査の結果、IBMが使用しているMOVEitアプリケーション上の特定のHCPFファイルが2023年5月28日頃に不正な攻撃者によってアクセスされたことが判明しました。」 – コロラド州医療政策・財政局

調査の結果、攻撃者は、ヘルス ファースト コロラドと CHP+ の特定のメンバーの情報を含むファイルにアクセスし、ファイルを流出させた可能性があることが明らかになりました。

  • フルネーム
  • 社会保障番号 (SSN)
  • メディケイド ID 番号
  • メディケア ID 番号
  • 生年月日
  • 自宅の住所
  • 連絡先
  • 収入情報
  • 人口統計データ
  • 臨床データ (診断、検査結果、治療、投薬)
  • 健康保険情報

上記のデータは、効果的なフィッシング攻撃やソーシャル エンジニアリング攻撃を開始するために利用でき、個人情報や銀行詐欺行為にも役立ちます。

合計4,091,794人のデータが流出した。 HPCF は、データ侵害の通知を受け取ったすべての個人に対して、Experian を介して 2 年間の信用監視サービスを提供し、詐欺行為への対策を支援します。

この情報開示は、コロラド州の別の大きな州機関である高等教育省(CDHE)が、ランサムウェア攻撃による大規模なデータ侵害が多数の学生と教師に影響を与えたことを明らかにしてからわずか 1 週間後に行われた。

CDHE によると、攻撃者らは盗んだデータを利用して二重恐喝を実行し、ネットワーク コンピューターを暗号化したという。ただし、ハッカーがどのようにしてネットワークにアクセスしたのかは明らかにされていない。

2023 年 7 月、コロラド州立大学は、脆弱性のある MOVEit Transfer ソフトウェアの使用に起因するデータ侵害を明らかにし、数万人の学生と教職員に影響を与えました。