レポート 5236

関連インシデント

インシデント 107014 Report
Serviceaide AI Platform Implicated in Health Data Exposure Affecting 483,000 Catholic Health Patients

Loading...
Serviceaideへのサイバー攻撃でカトリック・ヘルスの患者48万人のデータが侵害される
gbhackers.com · 2025

カトリック・ヘルスのテクノロジーベンダーであるServiceaide, Inc.でデータ侵害が発生し、約48万人の患者の機密情報が漏洩しました。

Elasticsearchデータベースのセキュリティが適切に管理されていなかったことが原因で発生したこのインシデントにより、氏名、社会保障番号、医療記録、ログイン認証情報が約7週間にわたり公開されました。

フォレンジックアナリストはデータの不正使用の直接的な証拠は発見しませんでしたが、漏洩の規模は、サードパーティの医療ITシステムにおけるシステム全体の脆弱性に関する重大な懸念を引き起こしています。

この侵害は、Serviceaideが管理するカトリック・ヘルスのElasticsearchデータベースの設定ミスが原因で、2024年9月19日に誤って公開されてしまいました。

Serviceaideが定期監査中に脆弱性を発見し、アクセスを制限するまで、理論上は権限のない第三者が患者記録にアクセスできた可能性があります。

検知が47日間遅れたため、潜在的な攻撃者はデータを悪用する十分な時間を得ることができましたが、Serviceaideの調査ではデータ流出の決定的な証拠は見つかりませんでした。

Serviceaideは、データベースのアクティビティログの分析をサードパーティのフォレンジック会社に委託しましたが、包括的な監視ツールがなかったため、アクセス試行の追跡能力は限られていました。

Catholic Healthは、インシデント発生前にデータベースに認証が必要だったかどうか、また暗号化プロトコルが有効だったかどうかを明らかにしていません。

Serviceaideはこれに対し、「追加のセキュリティ対策」を実施したと主張していますが、具体的な内容は依然として不明です。米国保健福祉省(HHS)は、HIPAAのサードパーティベンダーコンプライアンスガイドラインに基づき、この侵害を調査しています。

侵害された患者情報の範囲

漏洩したデータは、極めて機密性の高い識別子のモザイク状を呈しています。影響を受けた個人の92%の社会保障番号が漏洩し、100%の個人が医療記録番号、治療履歴、医療提供者の詳細を失いました。

31,000人の患者の一部は、ハッシュ化されたパスワードを含むメール認証情報も侵害されていました。これは、プラットフォーム間でパスワードが頻繁に再利用されていることを考えると、重大なリスクです。

特に、データベースには精神科治療記録と処方箋記録が含まれていました。これらは、42 CFR Part 2などのより厳格な規制で保護されています。

法律専門家は、これが標準的なHIPAA違反に加えて、別途罰則の対象となる可能性があると指摘しています。

迅速な検索操作のために設計されたツールであるElasticsearchでデータが構造化されているため、攻撃者はシステムに侵入した場合、記録を効率的に照会およびエクスポートできます。

カトリック・ヘルスは、2023年に保健福祉省(HHS)が医療分野におけるサードパーティの脆弱性の増加について警告を発したにもかかわらず、Serviceaideのセキュリティ対策を積極的に監査しなかったとして、厳しい調査に直面しています。

全米17の病院ネットワークにITインフラを提供するServiceaideは、他の顧客への影響についてコメントしていません。

緩和策と消費者保護

ServiceaideはExperian IdentityWorksを通じて24ヶ月間の信用調査を提供していますが、医療ID盗難のリスクに対処できていないという批判的な意見があります。患者の皆様には、以下の対策をお勧めします。

  1. 保険金詐欺の前兆となることが多い、認識されていないサービスがないか、給付明細書(EOB)を確認する。 2. 医療ID盗難の懸念を明記した文言を用いて、信用調査機関に強化された不正警告を発する。 3. 改ざんを検知するため、カトリック・ヘルスのプライバシー・オフィスを通じて医療記録の手動監査を依頼してください。

今回の侵害は、医療ベンダーのセキュリティ管理における体系的な欠陥を浮き彫りにしています。

提案されている解決策には、すべてのサードパーティ・データベースに対するリアルタイム監視の義務付けと、病院に対しベンダーのセキュリティ設定を半年ごとに検証することを義務付けるHIPAA規則の改訂が含まれます。

こうした改革が実現するまで、患者は安全でないパートナーシステムによる二次被害の危険にさらされ続けることになります。

Serviceaideの専用サービスは平日の営業時間に稼働していますが、利用者からは待ち時間が長くなったという報告があります。

医療分野の侵害は前年比72%増加しており、今回の事件は、医療サプライチェーン全体にわたって施行可能なサイバーセキュリティ基準の緊急の必要性を改めて浮き彫りにしています。

情報源を読む