UnitedHealth Group

UnitedHealthは、Change Healthcareのランサムウェア攻撃で1億人以上の個人情報とヘルスケア・データが盗まれたことを初めて確認した。

5月、ユナイテッドヘルス社のアンドリュー・ウィッティ最高経営責任者(CEO)は議会の公聴会で、この攻撃でアメリカ人全員の健康データの「おそらく3分の1」が流出したと警告した。

その1ヵ月後、Change Healthcareは、2月のランサムウェア攻撃で “アメリカのかなりの割合の人々 “の “かなりの量のデータ “が流出したと警告するデータ流出通知を発表した。

今日、米国保健社会福祉省公民権局のデータ流出ポータルは、影響を受けた人々の総数を1億人に更新し、Change Healthcareの親会社であるUnitedHealthが流出に公式の数字を付けたのはこれが初めてとなった。

「2024年10月22日、Change HealthcareはOCRに対し、この情報漏えいに関して約1億人の個人に対して通知が送られたことを通知しました。

Updated number of people impacted by the Change Healthcare data breach
Change Healthcareのデータ流出により影響を受けた人数の更新
情報源はこちら:HHS

6月以降にChange Healthcareから送られたデータ流出通知には、2月のランサムウェア攻撃で以下のような大量の機密情報が盗まれたと記載されている:

  • 医療保険情報(プライマリ、セカンダリ、またはその他の医療プラン/保険、保険会社、会員/グループID番号、メディケイド/メディケア/政府支払者ID番号など);
  • 健康情報(医療記録番号、医療提供者、診断、医薬品、検査結果、画像、ケアおよび治療など);
  • 請求、請求および支払情報(請求番号、口座番号、請求コード、支払カード、財務および銀行情報、支払済み、支払残高など)、および/または
  • 社会保障番号、運転免許証または州のID番号、パスポート番号などのその他の個人情報。

情報は個人ごとに異なる可能性があり、すべての人の病歴が流出したわけではありません。

Change Healthcareのランサムウェア攻撃

このデータ漏洩は、UnitedHealthの子会社であるChange Healthcareに対する2月のランサムウェア攻撃によって引き起こされたもので、米国の医療システムに広範な機能停止をもたらした。

同社のITシステムに障害が発生したことで、医師や薬局が保険請求を行えなくなり、薬局では処方箋の割引カードが使えなくなったため、患者は薬代を全額支払わなければならなくなった。

ALPHVの名で知られるBlackCatランサムウェア・ギャングは、盗んだ認証情報を使って、多要素認証が有効になっていない同社のCitrixリモート・アクセス・サービスに侵入し、攻撃を行った。

攻撃中、脅威者は6TBのデータを盗み出し、最終的にネットワーク上のコンピュータを暗号化したため、同社は攻撃の拡大を防ぐためにITシステムをシャットダウンした。

UnitedHealth Groupは、復号化装置を受け取り、脅威行為者が盗んだデータを削除するために身代金要求を支払ったことを認めた。攻撃を行ったBlackCatランサムウェアの関連会社によると、身代金の支払いは2200万ドルだったとされている。

この身代金の支払いは、アフィリエイトとランサムウェアのオペレーションで分割されることになっていたが、BlackCatは突然シャットダウンし、支払いの全額を自分たちのために盗み、終了詐欺を行った。

Alleged ALPHV affiliate claiming they were scammed by BlackCat
BlackCatに詐欺にあったと主張するALPHVアフィリエイト
ソースはこちら:ドミトリー・スミリャネッツ

しかし、Change Healthcareの問題はこれで終わりませんでした。アフィリエイトは、会社のデータをまだ持っており、約束通り削除していないと主張したからです。このアフィリエイトはRansomHubという新しいランサムウェアの運営会社と提携し、盗まれたデータの一部を流出させ始め、データを公開しないための追加支払いを要求しました。

RansomHubのデータ流出サイトにあったChange Healthcareのエントリーは、数日後に不思議なことに消えたが、これはユナイテッドヘルスが2回目の身代金要求を支払ったことを示しているのかもしれない。

ユナイテッドヘルスは4月に、チェンジ・ヘルスケアのランサムウェア攻撃により8億7200万ドルの損失が発生したと発表しており、2024年第3四半期決算の一部として、2024年9月30日までの9ヶ月間で24億5000万ドルの損失が見込まれると増加した、