ITサービス企業Serviceaideは5月9日、米国保健福祉省(HHS)に対し、カトリック・ヘルスの患者最大483,126人の機密データが漏洩した可能性があると通知しました。
影響を受けた患者に送付された5月5日付の書簡の中で、同社はElasticsearchデータベースの漏洩を2024年11月15日に認識し、その後、インシデントの範囲について調査を開始したと述べています。
調査員は、2024年9月19日から2024年11月5日の間に、特定の患者情報が公開されていたことを発見しました。
データには、氏名、社会保障番号、生年月日、医療記録番号、患者アカウント番号、医療/健康情報、臨床情報、医療提供者名、�医療提供者の所在地、メールアドレス/ユーザー名、パスワードが含まれていました。
Serviceaideは患者に対し、調査で情報がコピーされた証拠は確認されなかったものの、「この種の活動の可能性を排除できない」と説明しました。
ColorTokensの副社長兼CISOアドバイザリーであるAgnidipta Sarkar氏は、今回の侵害は安全でない直接オブジェクト参照(IDOR)の設定ミスが原因で、ハッカーがデータのコピーの証拠なしに機密データに不正アクセスする可能性があると述べました。
Sarkar氏は、これはニューヨーク州西部にあるCatholic Healthの75の診療所で医療を受けている個人に影響を与える可能性があり、機密性の高い個人情報や健康情報が漏洩する可能性があるため、なりすまし、金融詐欺、医療詐欺のリスクが高まると述べました。
「サイバーセキュリティチームにとって多くの教訓がありますが、実践は複雑です」とサーカー氏は述べています。「設定ミスのリスク、検知の遅れ、サードパーティベンダーのリスク、機密データの漏洩、そして規制への影響を防ぐことが含まれます。医療セキュリティチームは、少なくともIDORの脆弱性を解決し、設定を監査し、変更ガバナンスを強化し、パスワードレスの最小権限アクセスを実装する必要があります。」
0rcusの共同創設者兼CEOであるニック・アダムズ氏は、今回の事例を昨年注目を集めたChange Healthcare事件と比較し、医療機関がサードパーティベンダーに大きく依存することで、侵害��の潜在的な影響が増大すると述べました。
「どちらの事件も、医療分野における体系的な問題を浮き彫りにしています。そのため、サードパーティベンダーは重要なデータやシステムへのアクセスを理由に、ますます標的にされるようになっています」とアダムズ氏は述べています。 「これらのベンダーとの関係において、堅牢な対策と運用上の監視が欠如していることが、このような侵害のリスクを永続的に悪化させています。」
Serviceaideの侵害で漏洩した膨大な量の機密性の高い個人情報と医療データは、医療分野全体にわたる堅牢なサイバーセキュリティ対策の継続的な必要性を浮き彫りにしていると、Keeper Securityの共同創設者兼CEOであるダレン・グッチオーネ氏は付け加えた。
「この規模の侵害の真の影響を判断するには、組織がデータ漏洩の全容を明らかにし、侵害報告書の正確性を検証し、進化する規制要件に対応しなければならないため、数ヶ月、あるいは数年かかることも珍しくありません」とグッチオーネ氏は述べた。「漏洩したカトリック・ヘルスのデータは依然として重大な脅威です。個人情報、医療情報、財務情報が漏洩すると、なりすまし、医療詐欺、標的型フィッシング攻撃のリスクが高まります。悪用の兆候がすぐに現れない場合でも、盗まれたデータは将来的に表面化し、個人と組織の両方にとってリスクを長期化させる可能性があります。」