米国医療関連不正アクセスのトップ10公開:合計1,900万人分のデータが流出

ヘルスケア分野は2021年々も何百ものサイバー攻撃の標的となっており、これまでに公表されたデータ漏洩の報告を集計すると数千万件の医療記録が権限のない者に漏洩していることがわかっています。

最大のデータ侵害のほとんどはランサムウェアの攻撃によるもので、そのうちTOP10は2021年に医療記録情報漏えいの半分以上を占めています。

数百万人の個人情報が盗まれたり、さらされたりしている

医療保険の相互運用性と説明責任に関する法律(HIPAA)に基づく侵害通知規則では、医療機関は、ある州または管轄区域の500人以上の住民に影響を与える場合、侵害を開示することが義務付けられています。

米国保健社会福祉省(HHS)公民権局のポータルに掲載されている最も影響の大きいサイバーイベントのトップ10は、すべてハッキング事件によるもので合計1,900万人分のデータが漏洩したことになります。

米国で発生した医療データ流出事件のトップ10

1.Florida Healthy Kids Corporation -> 350万人分

報告されたリストのトップには、Florida Healthy Kids Corporationで発生した事件があり、ウェブサイトのホスティングプラットフォームに7年間パッチが適用されていなかった脆弱性がハッカーに利用され、350万人分のデータが流出しました。

2.20/20 Eye Care Network-> 320万人分

ヘルスケア分野で2番目に大きなデータ流出は、フロリダ州の20/20 Eye Care Networkで、320万人以上の個人データを流出させ、さらにハッカーは同社のAWS S3バケットにアクセスし、情報を削除しました。20/20 Eye Care Networkに対して集団訴訟が起こされました。

3.Forefront Dermatology -> 241万人分

もう1つの注目すべきデータ流出は、皮膚科グループ診療所のForefront Dermatology社によるもので、1週間にわたって権限のない者が同社のシステムにアクセスしていたことが判明しました。

この侵入により、名前、住所、生年月日、健康保険プランのメンバーID、医療および臨床治療の詳細など、241万人以上の患者の情報が流出しました。

4.NECネッツエスアイ(CaptureRx) -> 165万人分

2021年2月19日、NECネッツエスアイ(CaptureRx)は、その2週間前にシステムが侵害され、侵入者が顧客記録にアクセスしていたことを発見しました。

その後の調査で、165万人に属するデータに影響を与えたランサムウェア攻撃であることが判明しました。

5.Eskenazi Health -> 150万人分

8月4日、Eskenazi Healthの公立病院部門に対する攻撃で、150万人以上のデータが漏洩しました。

ハッカーは5月19日から内部ネットワークに侵入し、ネットワークを暗号化する準備をしていましたが、操作を完了することができなかったとのことです。

データの暗号化は行われなかったものの、患者の個人情報や健康情報を組織から盗み出すことに成功しました。

6.The Kroger Co. -> 147万人分

The Kroger Co.は、147万人分の記録が流出したデータ流出を確認しました。この事件は、ランサムウェア「Clop」によるランサム攻撃の一環として発生しました。

最大100社が利用しているAccellion社のレガシーFile Transfer Applianceサービスの脆弱性を利用して、企業データへのアクセスが可能でした。

薬局を運営しているスーパーマーケットチェーンのKrogerは、個人情報が流出した顧客や従業員に代わって、500万ドルを支払うことで同社に対する請求を終わらせることに合意しました。

7.St.Joseph’s/Candlerヘルスシステム -> 140万人分

同じくランサムウェア攻撃の被害者であるSt.Joseph’s/Candlerヘルスシステムは、2021年6月17日に侵入を検知したことを発表しました。調査の結果、ハッカーは2020年12月18日からネットワークにアクセスしていたことが判明しました。

ネットワーク上で攻撃者は、住所、生年月日、社会保障番号、運転免許証番号、財務情報、健康保険プランの会員ID、医療・臨床治療情報など、140万人の患者のデータにアクセスしていました。

8.University Medical Center Southern Nevada -> 130万人分

ランサムウェア「REvil」は、6月中旬にUniversity Medical Center Southern Nevadaのシステムに侵入し、130万人分のデータを流出させていました。

このデータには、個人を特定できる情報(PII)のほか、「特定の保護された健康情報」が含まれていたことが、同センターのデータセキュリティインシデント通知で明らかになっています。

9.American Anesthesiology -> 120万人分

American Anesthesiology社は、2021年1月初旬に、同社のサービスプロバイダーの1つであるMednax Services社がフィッシング事件に見舞われ、個人情報が不正に流出したことを患者に通知しました。

攻撃者は、2020年6月中旬にパートナーのMicrosoft Office 365メールシステムにアクセスし、American Anesthesiologyの患者さんに属する個人情報にアクセスすることができました。この事件で合計で120万人分のデータが流出しました。

10.Professional Business Systems, Inc., d/b/a Practicefirst Medical Management Solutions and PBS Medcode Corp. -> 120万人分

2021年にこれまでに報告された最大10件のデータ漏洩事件のリストの最後には、Professional Business Systems, Inc., d/b/a Practicefirst Medical Management Solutions and PBS Medcode Corp.(以下、Practicefirst)–複数の医療機関のベンダー–が登場します。

この事件はランサムウェア攻撃であり、2020年12月下旬に判明しました。ハッカーはデータを暗号化しなかったが、Practicefirst社のネットワークからファイルをコピーし、120万人以上の患者と従業員の個人情報を流出させた。

HHSポータルで公開されている50件以上のハッキング事件は、10万人以上の個人に影響を与えており、医療分野の組織が引き続き魅力的な標的であることを示しています。

HIPAA Journalによると、2021年に報告された情報漏えい事件では、4,500万件近くの医療記録が流出または盗難されています。

コメント

タイトルとURLをコピーしました