2月にChange Healthcareがランサムウェア攻撃を受け、1億人以上の個人の健康情報が盗まれた。このサイバー攻撃は、数ヶ月に及ぶ前例のない機能停止と米国の医療業界全体にわたる広範囲な混乱を引き起こした。
ヘルステック企業を所有する米国の医療保険会社ユナイテッドヘルスグループ(UHG)が、データ侵害に「米国人のかなりの割合」のデータが含まれると予想していると以前に述べていたが、影響を受けた個人数名をデータ侵害の対象にしたのは今回が初めてだ。
米国保健福祉省は木曜日、データ侵害ポータルでこの最新数値を初めて報告した。
UHGの広報担当者タイラー・メイソン氏は短い声明で、「関係するデータの量と複雑さを考慮し、調査はまだ最終段階にあるため、影響を受ける可能性のある個人には、引き続き可能な限り迅速に、継続的に通知していきます」と述べた。
チェンジ・ヘルスケアへのランサムウェア攻撃とデータ漏洩は、米国の医療記録に対するデジタル盗難事件としては過去最大規模であり、また、歴史上最大級のデータ漏洩の一つでもあります。個人の医療情報が取り返しのつかないほど盗まれた数百万人のアメリカ人にとって、その影響は生涯にわたって続く可能性があります。
UHG は 7 月下旬から影響を受けた個人に通知を開始し、10 月まで通知を続けました。
盗まれたデータは個人によって異なりますが、Changeは以前、氏名、住所、生年月日、電話番号、メールアドレスなどの個人情報、そして社会保障番号、運転免許証番号、パスポート番号などの政府発行の身分証明書が含まれていることを確認しました。盗まれた健康データには、診断、投薬、検査結果、画像診断、ケア・治療計画、健康保険情報に加え、犯罪者が入手した請求・支払いデータに含まれる金融・銀行情報も含まれています。
チェンジ・ヘルスケアは、数千もの病院、薬局、診療所を含む米国の医療セクター全体において、患者の保険と請求を処理する、健康・医療データおよび患者記録を扱う最大手企業の一つです。そのため、チェンジは全米人口の約3分の1の膨大な健康・医療関連情報を取り扱っていると、同社のアンドリュー・ウィッティCEOは5月に議員らに語りました。
このサイバー攻撃は2月21日に公になった。Change Healthcareは侵入者を封じ込めるためネットワークの大部分をオフラインにし、患者の保険と請求の処理をChange Healthcareに依存していた米国の医療部門全体に即時の障害をもたらした。
UHGは、このサイバー攻撃はロシア語を話すランサムウェアおよび恐喝集団であるALPHV/BlackCatによるものだとしており、後に同集団がサイバー攻撃の責任を主張した。
ランサムウェア集団のリーダーたちは、後に医療保険大手から支払われた2,200万ドルの身代金を持ち逃げした後、姿を消した。これにより、Change Healthcareへのハッキングを実行したグループの請負業者たちは、新たに得た莫大な利益を奪われた。請負業者たちはChange Healthcareから盗んだデータを用いて新たなグループを結成し、UHGから2度目の身代金を要求した。その過程で、盗んだファイルの一部をオンラインで公開し、脅威を証明した。
サイバー犯罪者がその後データを削除したという証拠はありません。LockBitを含む他の恐喝グループは、被害者が身代金を支払い、犯罪者がデータを削除したと主張した後でも、盗んだデータを隠し続けることが示されています。
身代金を支払うことで、Change 社は盗まれたデータセットのコピーを入手し、データ内に情報が見つかった影響を受けた個人を特定して通知できるようになりました。
現在最も活発なランサムウェア集団の一つであるALPHV/BlackCatの背後にいるハッカーを捕らえようとする米国政府の取り組みは、これまでのところ失敗に終わっている。同集団は2023年にダークウェブの漏洩サイトを摘発する作戦を実施し、復活を遂げた。
チェンジ・ヘルスケアの情報漏洩から数か月後、米国務省はALPHV/BlackCatサイバー犯罪者の所在に関する情報に対する報奨金を1,000万ドルに引き上げた。
データ漏洩の原因は企業の統合とセキュリティの不備
チェンジ・ヘルスケアのネットワークの一部は、2月のサイバー攻撃からの復旧作業が続く中、依然としてオフラインのままとなっている。議員らは、この侵害と、医療データが回復不能に盗まれた数百万人のアメリカ人への影響についても調査を進めている。
4月に行われたサイバー攻撃に関する下院公聴会で、ユナイテッドヘルスのCEOウィッティ氏は、サイバー犯罪者が、パスワード盗難の悪用を防ぐのに役立つセキュリティ機能である多要素認証(MFA)で保護されていなかった盗難認証情報を使用して従業員システムの1つに侵入したことを認めた。
ランサムウェア集団は盗んだパスワードのみを使用して重要な内部システムにアクセスし、Change Healthcare のネットワークの他の部分に到達してランサムウェアを展開することができました。
システムがなぜMFAで保護されていなかったのかは不明ですが、これは議員や政府による継続的な調査において重要な部分であり続けるでしょう。ウィッティ氏は議員に対し、サイバー攻撃を受けて組織はMFAを導入し、現在は強制的に適用していると述べました。
議員らは、UHG がいかにして膨大なデータを取り扱い、莫大な収益を生み出しながら、基本的なサイバーセキュリティを怠っているかに焦点を当てた。
2023年通期決算報告によると、UHGは売上高3,710億ドルに対し、220億ドルの利益を計上しました。ウィッティ氏は同年、役員報酬として2,350万ドルを受け取りました。
この事件ではMFAの欠如が悪用されたが、チェンジ・ヘルスケアが収集し保管する機密性の高いデータの量と量自体が標的になったと議員らは述べた。
チェンジ・ヘルスケアは、ユナイテッドヘルス・グループによる78億ドルの買収の一環として、2022年に米国の医療サービス提供会社オプタムと合併しました。この合併により、2つの医療大手はユナイテッドヘルス・グループ傘下となり、医師グループを所有し、保険会社や医療サービスに技術とデータを提供するオプタムは、チェンジが取り扱う患者記録への広範なアクセスが可能になりました。
ユナイテッドヘルス・グループは、最新の通期業績報告によると、米国の顧客5,300万人以上、米国外の顧客500万人以上に福利厚生プランを提供しています。オプタムは、米国の顧客約1億300万人にサービスを提供しています。
この取引は米国連邦反トラスト当局の精査を受け、当局はユナイテッドヘルスがチェンジ・ヘルスケアを買収しオプタムと合併することを阻止するために訴訟を起こした。ユナイテッドヘルスは「毎年通過する全米人の健康保険請求の約半数」にアクセスすることで不当な競争優位性を得ることになると主張した。最終的に裁判官は取引を承認した。
報道によると、司法省はチェンジ・ヘルスケアへのハッキングの数か月前からUHGとその潜在的な反競争的行為に対する捜査を強化し始めたという。
UHGコメントを更新しました。
続きを読む:
- チェンジ・ヘルスケアへのランサムウェア攻撃の経緯:タイムライン
- チェンジ・ヘルスケアは、ランサムウェアのハッカーが「かなりの割合」のアメリカ人の医療記録を盗んだことを確認した。
- チェンジ・ヘルスケアのハッカーは盗んだ認証情報を使って侵入したが、MFAは使用していなかったとUHGのCEOが語る
