Healthcare

メディケア&メディケイド・サービスセンター(CMS)連邦機関は今月初め、昨年行われたMOVEit攻撃Cl0pランサムウェアで300万人以上の医療保険受給者の健康情報と個人情報が流出したと発表した。

ハッカーは、メディケアの管理サービスを提供していたウィスコンシン・フィジシャンズ・サービス(WPS)の医療保険法人に侵入し、データを盗んだ。

CMSはHHS内の連邦機関で、メディケイドやCHIPを含む国の主要な医療プログラムを管理している。

CMSはメディケイドとCHIPを含む国の主要な医療プログラムを管理するHHS内の連邦機関であり、プログラムが連邦基準を満たすよう監督し、資金援助を行い、政策と規制を実施し、質とコストを監視し、医療保険改革法(ACA)の医療保険市場の規制を支援している。

9月6日にCMSから発表されたプレスリリースによると、CMSとWPSは、1年以上前に発生したMOVEit攻撃で流出した個人を特定できる情報について、メディケアに加入している946,801人に通知している。

同日、連邦政府機関は、米国保健福祉省(HSS)の侵害ポータルで、情報が盗まれた完全な人数は3,112,815人であると報告した。

Breach figure
出典:ocrportal.hhs.gov

CMSの広報担当者は、この差は死亡しているか、メディケアの受給者ではないが、WPSがCMSの業務の一環としてデータを収集した人々であると説明している。

CMSのプレスリリースによると、WPSは2023年6月初旬にMOVEit Transferの開発元であるProgress Softwareのセキュリティアップデートを適用し、その時点ではシステムは安全であると想定していた。

しかし、2024年5月に事件を検証したところ、同社がセキュリティ・パッチを適用する前にハッカーがWPSのネットワークに侵入し、特定のファイルを流出していたことが判明した。

2024年7月8日、盗まれたファイルの内容を評価中、CMSは、特に以下の情報が含まれていると判断した:

  • 氏名
  • 社会保障番号または納税者番号
  • 生年月日
  • 郵送先住所
  • 性別
  • 病院口座番号
  • 診療日
  • メディケア受給者番号(MBI)および/または健康保険請求番号

このインシデントの調査が継続される中、影響を受けた個人には、データ流出から生じるリスクを軽減するため、エクスペリアンが12カ月間の無料クレジット・モニタリング・サービスを提供している。

Cl0pは、病院、医療機関、米国政府機関のデータを削除すると主張したが、盗まれたデータがダークウェブ上で共有されたり販売されたりしていないことを保証することは事実上不可能である。