アメリカ・マサチューセッツ州が「ハーバード・ピルグリム・ヘルスケアがプライバシー事件に関する声明を発表」とのニュースリリースを発表しています。医療保険を運営しているハーバード・ピルグリム・ヘルスケア(HPHC)がランサムウェア攻撃を受けて会員のデータが盗まれたということです。
システムにデータがコピーされた痕跡
日本では公的医療保険への加入が義務付けられていますが、アメリカでは企業や民間団体によって医療保険が運営されています。ハーバード・ピルグリム・ヘルスケア(HPHC)は、HMO(Health Maintenance Organization)と呼ばれる、一定の年間保険料を支払うことで指定された医師や病院の診療を受けられる会員制の医療保険を運営している団体です。マサチューセッツ州、ニューハンプシャー州、メイン州、コネチカット州に居住する110万人が会員登録しており、医療保険会社のPoint32Healthの監督下で運営されているようです。
マサチューセッツ州のプレスリリースによると、2023年3月28日から同4月17日の間にハーバード・ピルグリム・ヘルスケアのシステムからデータがコピーされて、持ち出された痕跡が確認されたということです。コピーされたファイルには現在と以前の加入者とその扶養家族の個人情報、医療情報が含まれている可能性があり、具体的には氏名、住所、電話番号、生年月日、健康保険口座番号、社会保障番号、納税者番号、病歴などの臨床情報、診断・治療の日付などが含まれるということです。現時点でこれらのデータが悪用された事実はないとしています。
Point32Healthのリリースによると、4月17日にランサムウェアインシデントを特定し、脅威を封じ込めるためにハーバード・ピルグリム・ヘルスケアのシステムをオフラインにし、法執行機関に通知するとともにサイバーセキュリティの専門家と協力して調査を行っているということです。その調査の中でハーバード・ピルグリム・ヘルスケアのシステムからデータがコピーされて、持ち出された痕跡が確認されたということです。すべてのデータが窃取されたのか一部なのか、ランサムウェア攻撃の状況はどのようなものなのか、など詳細については調査中のためか明らかにされていないようです。
オーストラリアのケースでは盗んだ医療データで恐喝
医療保険のシステムに対するサイバー攻撃は、昨年10月にはメルボルンに本部のあるオーストラリア最大の医療保険会社、メディバンク・プライベート・リミテッドでも起きています。このケースでは顧客の医療情報や個人情報が不正アクセスにより盗まれ、その後、犯罪者から盗んだ顧客の情報をオンラインに公開するとの脅しがあり、実際に一部の情報がダークウェブに公開されたことをメディバンク・プライベート・リミテッドが明らかにしています。
今回の事態を受けてPoint32Healthは、ユーザープロトコルの見直しと強化、脆弱性スキャンの強化、EDRセキュリティソリューションの実装などの対策をすでに講じたとしています。また、影響を受ける可能性のある顧客に対してはハーバード・ピルグリム・ヘルスケアが、個人情報の不正使用がないかデジタルプライバシー保護プラットフォームのIDXにより2年間監視をするサービスや個人情報盗難防止サービスへの無料登録などのプログラムを準備し、専用のコールセンターを設置して顧客に対応しているようです。
ランサムウェア攻撃によりPoint32Healthはハーバード・ピルグリム・ヘルスケアなどのシステムを大幅に制限し、ハーバード・ピルグリム・ヘルスケアのシステムではウェブサイトがオフラインになり、ファイルの出入りが出来なくなり、電子支払いも出来なくなったということです。また、病院に治療を受けにきた患者が健康保険を拒否されて治療を受けることができなかったとの報道もされているようですので、利用者にも混乱が起きているようです。
■出典
https://www.mass.gov/news/harvard-pilgrim-health-care-provides-statement-regarding-privacy-incident