アセンション・ヘルスへのランサムウェア攻撃により、560万人の患者とスタッフのデータが漏洩

近年の最も重大な医療データ侵害の1つとして、米国最大の非営利医療システムの1つであるAscension Healthは、560万人が壊滅的なランサムウェア攻撃の影響を受けたことを明らかにしました。2024年5月に発生したこの事件では、個人情報、医療情報、財務情報など、幅広い機密情報が漏洩しました。

サイバー攻撃の詳細

ランサムウェア攻撃は2024年5月8日に発生し、全国の病院サービスに即座に混乱をきたしました。救急室は患者を別の場所に転院させざるを得なくなり、システムがオフラインになったため病院は手動操作に戻りました。アセンションは6月中旬までに影響を受けたサービスのほとんどを復旧できましたが、ネットワークと患者の信頼へのダメージはすでに発生していました。

攻撃者は、Ascension のサーバーから以下のものを含む大量の機密データを盗み出すことに成功しました。

• 氏名、住所、生年月日
• 社会保障番号と政府発行の身分証明書番号
• 運転免許証と納税者番号
• 保険と医療情報
• 支払いと財務の詳細

侵害されたデータの範囲は人によって異なり、被害者には患者と従業員の両方が含まれていました。

通知の遅れが懸念を呼ぶ

Ascension は、侵害に関する調査を完了するのに数か月かかりました。2024 年 12 月 19 日、同組織は調査を完了し、影響を受けた個人への通知を開始すると発表しました。

「5月のランサムウェア攻撃以来、当社は第三者の専門家と協力し、この事件に関係した可能性のある個人情報を調査してきました」とアセンションは述べた。通知書は今後数週間以内に配達される予定である。

潜在的な影響を軽減するために、アセンションは100万ドルの保険償還ポリシーを含む、1年間の無料クレジット監視および個人情報保護サービスを提供しています。

ブラックバスタランサムウェアグループが疑われる

捜査に近い情報筋は、悪名高いブラックバスタ ランサムウェア グループが犯人である可能性が高いと指摘しています。しかし、ブラックバスタも他のサイバー犯罪組織も、この攻撃に対する責任を主張していません。この沈黙は、アセンションが身代金を支払ったことを示唆している可能性がありますが、確認は公表されていません。

ブラックバスタはこれまでも医療機関を標的とし、業界の重要なシステムへの依存度を悪用して被害者に迅速に身代金を支払うよう圧力をかけてきた。

危機に瀕する医療業界

この事件は、医療分野における脆弱性を痛烈に思い起こさせるものです。デジタル インフラストラクチャへの依存度が高く、患者データの機密性が高いことから、医療機関は依然としてランサムウェア グループの主要な標的となっています。

医療におけるデータ侵害は、個人情報の盗難から金融詐欺、さらには医療情報の悪用に至るまで、壊滅的な結果をもたらす可能性があります。Ascension の被害者にとって、漏洩した情報は今後何年も彼らを悩ませる可能性があります。

アセンションとその犠牲者たちの今後はどうなるのか？

アセンションの評判は間違いなく打撃を受けており、同社は HIPAA (医療保険の携行性と責任に関する法律) などの法律に基づく規制調査に直面する可能性があります。一方、影響を受けた個人は、提供されている信用監視サービスを活用し、個人情報の盗難や詐欺の兆候に警戒を怠らないようにすることが求められています。

この攻撃は、医療分野における強力なサイバーセキュリティ防御の重要性を強調しています。組織は、拡大するランサムウェアの流行に対抗するために、より強力な防御、定期的な従業員トレーニング、迅速なインシデント対応プロトコルに投資する必要があります。

Ascension Health へのランサムウェア攻撃は、医療業界にとって警鐘となり、データ侵害の壊滅的な影響を浮き彫りにしました。サイバー犯罪者の手口がますます巧妙になるにつれ、機密情報を保護することの重要性はかつてないほど高まっています。

被害に遭った個人は、自分の個人情報を保護するために直ちに行動を起こす必要がありますが、業界全体としては、将来同様の攻撃を防ぐためにさらに努力する必要があります。あなたの健康データは貴重なものです。そのように扱いましょう。