2024年2月にユナイテッドヘルス傘下の医療テクノロジー企業チェンジ・ヘルスケアに対して発生したランサムウェア攻撃は、米国史上最大の医療・医療データ侵害として記録されている。
チェンジ・ヘルスケアは2025年1月、同社のデータ侵害がアメリカの約1億9000万人に影響を与えていることを確認した。これは同社の以前の推定値のほぼ2倍である。
同社は、個人情報や健康情報がサイバー犯罪者によって盗まれたことを数百万人に郵送で通知し、連絡先が見つからない人向けに別途公示したと発表した。
チェンジ・ヘルスケアは、米国の医療セクター全体にわたる数十万の病院、薬局、診療所の請求および保険処理を行っています。そのため、同社は米国の患者に関する膨大な量の機密性の高い医療データを収集・保管しています。一連の企業合併・買収を経て、チェンジ・ヘルスケアは米国の医療データ処理最大手の一社となり、米国の医療取引の半分近くを処理しています。
ランサムウェア攻撃が始まってから何が起こったかをご紹介します。
2024年2月21日
セキュリティインシデント発生時の障害に関する最初の報告
いつもの水曜日の午後のように見えたが、そうではなかった。突然の障害だった。2月21日、診療所や医療機関の請求システムが停止し、保険金請求の処理も停止した。Change Healthcareのウェブサイトのステータスページには、事業のあらゆる部分に影響を与える障害通知が殺到し、その日のうちに同社は「サイバーセキュリティの問題に関連したネットワーク障害が発生している」と発表した。明らかに何か重大な問題が発生していた。
チェンジ・ヘルスケアは、システム内で発見した侵入者を隔離するため、セキュリティプロトコルを発動し、ネットワーク全体をシャットダウンしたことが判明しました。これは、米国の広大な地域における医療保険と請求処理をチェンジ・ヘルスケアのような少数の企業に依存している医療業界全体に、突発的かつ広範囲にわたるシステム障害をもたらしました。後に判明したところによると、ハッカーは1週間以上前の2月12日頃に同社のシステムに侵入していたことが分かりました。
2024年2月29日
ユナイテッドヘルスはランサムウェア集団の攻撃を受けたことを認めた
ユナイテッドヘルスは当初(そして誤って)この侵入は政府または国民国家に所属するハッカーによるものだと発表しましたが、2月29日にサイバー攻撃は実際にはランサムウェア集団によるものだと発表しました。ユナイテッドヘルスの広報担当者は当時、TechCrunchに対し、この集団は「ALPHV/BlackCatを名乗っていた」と述べています。ALPHV/BlackCat集団に関連するダークウェブのリークサイトもこの攻撃の犯人だと名乗り、数百万人ものアメリカ人の機密性の高い健康情報や患者情報を盗んだと主張しました。これは、このインシデントがどれだけの個人に影響を与えたかを示す最初の兆候です。
ALPHV(別名BlackCat)は、ロシア語圏を拠点とするランサムウェア・アズ・ア・サービス(RaaS)を手がける組織として知られています。この組織に所属する契約社員であるALPHV/BlackCatの関連組織は、被害者のネットワークに侵入し、ALPHV/BlackCatのリーダーが開発したマルウェアを展開します。リーダーは、被害者から集めた身代金から得た利益の一部を、ファイルの回復のために受け取ります。
侵害がランサムウェア集団によって引き起こされたことが判明したことで、攻撃の様相は、政府が行うハッキング(何百万人もの個人情報を公開するのではなく、他の政府にメッセージを送信するために行う場合もある)から、金銭目的のサイバー犯罪者による侵害(彼らはおそらくまったく異なる手法で報酬を得ようとする)へと変化した。
2024年3月3日~5日
ユナイテッドヘルスはハッカーに2200万ドルの身代金を支払ったが、ハッカーはその後姿を消した。
3月初旬、ALPHVランサムウェア集団は姿を消した。数週間前にサイバー攻撃の責任を主張していたダークウェブ上の同集団のリークサイトは、英国と米国の法執行機関が同集団のサイトを閉鎖したという押収通知に置き換えられた。しかし、FBIと英国当局は、数ヶ月前に試みたようなランサムウェア集団の閉鎖を否定した。あらゆる兆候が、ALPHVが身代金を持ち逃げし、「出口詐欺」を働いたことを示唆していた。
チェンジ・ヘルスケアへのハッキングを実行したALPHV傘下の企業は、投稿の中で、ALPHV幹部が身代金として支払われた2,200万ドルを盗んだと主張し、その証拠として3月3日のビットコイン取引1件へのリンクを掲載した。しかし、身代金の一部を失ったにもかかわらず、傘下の企業は盗まれたデータは「まだ手元にある」と述べた。ユナイテッドヘルスはハッカーに身代金を支払ったが、ハッカーはデータを残して姿を消した。
2024年3月13日
データ漏洩の懸念により米国の医療に広範囲にわたる混乱
一方、サイバー攻撃から数週間が経過した現在も、医療システムの停止は続いており、多くの人が処方箋を受け取れなかったり、現金で支払わなければならなかったりしている。軍医療保険会社TriCareは、「世界中のすべての軍薬局」も影響を受けたと述べた。
アメリカ医師会は、進行中の停電についてユナイテッドヘルスとチェンジ・ヘルスケアからほとんど情報がなく、医療業界全体に波及し続けている大規模な混乱を引き起こしていると述べている。
3月13日までに、チェンジ・ヘルスケアは、数日前に2,200万ドルを支払って入手した盗難データの「安全な」コピーを受け取りました。これにより、チェンジはデータセットを精査し、サイバー攻撃で誰の情報が盗まれたのかを特定し、できるだけ多くの被害を受けた個人に通知するプロセスを開始することができました。
2024年3月28日
米政府、ALPHV捕獲につながる情報への懸賞金を1000万ドルに引き上げ
3月下旬までに、米国政府はALPHV/BlackCatとその関連組織の主要幹部に関する情報に対する懸賞金を引き上げていると発表した。
ギャングの背後にいる人物を特定または所在確認できた者に1,000万ドルの報奨金を提供するという米国政府の方針は、ギャング内部の関係者が元リーダーに反旗を翻すことを期待していたように思われる。また、これは米国が、相当数のアメリカ人の健康情報がオンライン上に公開される可能性への脅威を認識したとも解釈できる。
2024年4月15日
請負業者が新たな身代金要求集団を結成し、盗んだ健康データを公開
そして、身代金が2つになった。4月中旬までに、被害を受けた関連会社はRansomHubという新たな恐喝組織を立ち上げ、Change Healthcareから盗み出したデータをまだ保有していたため、UnitedHealthに2度目の身代金を要求した。その際、RansomHubは脅迫の証拠として、患者の個人情報や機密情報と思われる記録を含む盗み出したファイルの一部を公開した。
ランサムウェアグループはファイルを暗号化するだけでなく、可能な限り多くのデータを盗み出し、身代金を支払わなければファイルを公開すると脅迫します。これは「二重恐喝」と呼ばれます。被害者が身代金を支払った場合、ランサムウェアグループは被害者からさらに恐喝を行う場合もあります。また、被害者の顧客から恐喝を行う場合もあります。これは「三重恐喝」と呼ばれます。
ユナイテッドヘルスが一度身代金を支払う意思を示したことで、この医療大手が再び脅迫されるリスクが高まった。だからこそ、法執行機関は長年、犯罪者がサイバー攻撃から利益を得ることを可能にする身代金の支払いに反対してきたのだ。
2024年4月22日
ユナイテッドヘルスは、ランサムウェアのハッカーが「アメリカ人のかなりの割合」の健康データを盗んだと述べている。
ユナイテッドヘルスは4月22日(ランサムウェア攻撃開始から2か月以上経過後)、初めてデータ侵害が発生し、「アメリカ国民の相当数の人々」が影響を受けている可能性が高いと認めたが、その具体的な人数は明らかにしなかった。ユナイテッドヘルスはデータ侵害の身代金を支払ったことも認めたが、最終的に支払った金額は明らかにしなかった。
同社によると、盗まれたデータには、医療記録や健康情報、診断、投薬、検査結果、画像診断、ケア・治療計画、その他の個人情報など、機密性の高い情報が含まれているという。
チェンジ・ヘルスケアは米国居住者の半数に及ぶデータを扱っていることから、今回のデータ漏洩は少なくとも1億人以上に影響を与える可能性が高い。TechCrunchの取材に対し、ユナイテッドヘルスの広報担当者は影響を受ける可能性のある人数に異論を唱えなかったものの、同社のデータレビューは継続中であると述べた。
2024年5月1日
ユナイテッドヘルスグループの最高経営責任者は、チェンジ社が基本的なサイバーセキュリティ対策を講じていなかったと証言した。
おそらく驚くことではないが、企業が近年で最大規模のデータ侵害に見舞われた場合、最高経営責任者(CEO)が議員の前で証言を求められるのは必然だ。
ユナイテッドヘルスグループ(UHG)の最高経営責任者アンドリュー・ウィッティ氏にまさにそれが起こった。同氏は連邦議会で、ハッカーらが、アカウント所有者の携帯電話に2つ目のコードを送ることを要求することでパスワード再利用攻撃を防ぐことができる基本的なセキュリティ機能である多要素認証で保護されていないユーザーアカウントの単一の設定パスワードを使用して、チェンジ・ヘルスケアのシステムに侵入したことを認めた。
米国史上最大級のデータ侵害の一つは完全に予防可能だった、というのがキーメッセージだった。ウィッティ氏は、今回のデータ侵害はアメリカに住む人々の約3分の1に影響を与える可能性が高いと述べた。これは、チェンジ・ヘルスケアが医療保険請求処理を行っている人々とほぼ同数の人々が今回の侵害の影響を受けるという同社のこれまでの推定と一致している。
2024年6月20日
UHGは、盗まれたデータが何であったか、影響を受けた病院や医療提供者に通知し始めた。
一般に HIPAA として知られる法律で義務付けられている通り、Change Healthcare が影響を受けた個人に情報が盗まれたことを正式に通知し始めるまでには 6 月 20 日かかりましたが、これは盗まれたデータセットの膨大な量によって遅れたと考えられます。
同社はデータ漏洩に関する通知を発表し、盗難データの「安全な」コピーで特定された個人への通知を開始すると述べた。しかし、チェンジ社は、各個人についてどのようなデータが盗まれたのかを「正確に確認することはできない」とし、情報は個人によって異なる可能性があると述べた。チェンジ社は、影響を受けたすべての個人について十分な住所を把握していない可能性があるため、ウェブサイトに通知を掲載したとしている。
このインシデントは非常に大規模かつ複雑であったため、米国保健福祉省が介入し、侵害によって最終的に影響を受ける患者を抱える医療提供者は、ユナイテッドヘルスに彼らに代わって影響を受けた患者に通知するよう依頼できると発表した。これは、進行中の障害で財政的に打撃を受けた小規模医療提供者の負担を軽減する取り組みとみられる。
2024年7月29日
チェンジ・ヘルスケアは、影響を受けた既知の個人に手紙で通知を開始した。
ヘルステック大手の同社は6月下旬、ランサムウェア攻撃で医療データが盗まれた人々に、順次通知を開始すると発表した。このプロセスは7月下旬に開始された。
影響を受けた個人に送られる手紙は、Change Healthcare、あるいはChange Healthcareでハッキング被害を受けた医療機関から送られる可能性が高い。手紙には、医療データや健康保険情報、請求・支払い情報など、どのようなデータが盗まれたかが記載されており、Change Healthcareによると、これには金融情報や銀行情報も含まれるという。
ユナイテッドヘルスの広報担当者はTechCrunchに対し、データレビューは「最終段階」にあると語った。
2024年10月24日
ユナイテッドヘルスは、データ侵害の影響を受けた人が少なくとも1億人いると確認した。
医療保険大手は発表まで8ヶ月以上を要しましたが、データ漏洩の影響が1億人以上に及ぶことを確認しました。10月にもデータ漏洩の通知を受け取っている人もいるため、影響を受ける人の数はさらに増えると予想されます。米国保健福祉省は10月24日、データ漏洩ポータルで最新の数値を発表しました。
現状では、チェンジ・ヘルスケアでのデータ侵害は、米国の医療記録のデジタル盗難としては最大規模であり、歴史上最大のデータ侵害の一つとなっている。
2024年12月16日
ネブラスカ州の訴訟でChangeハッキングに関する新たな詳細が明らかに
ネブラスカ州は12月、ヘルステック大手のチェンジ・ヘルスケアを相手取り訴訟を起こし、少なくとも1億人の米国人への大規模な情報漏洩につながったセキュリティ上の欠陥を理由に同社を訴えた。州の訴状では、ハッキングに関する新たな詳細が明らかになり、ALPHVのハッカーが当初、「下級カスタマーサポート従業員」の盗んだユーザー名とパスワードを使用して侵入したことが明らかになった。これらのユーザー名とパスワードは多要素認証で保護されていなかった。また、州の訴状では、チェンジ・ヘルスケアのITシステムのセグメント化が不十分だったため、ハッカーが同社のファイアウォールを突破した後、サーバー間を自由に移動できたと非難している。
チェンジ・ヘルスケアを所有するユナイテッドヘルス・グループは、データ侵害の影響を受けた個人への通知は依然「最終段階」にあるとTechCrunchに語った(これは7月に同社が伝えた内容と同じ)。これは、データ侵害の影響を受けたアメリカ人の数は、これまでに公表されている1億人よりはるかに多いことを示唆している。
2025年1月24日
チェンジ・ヘルスケアは、データ侵害の影響を受けたアメリカ国内の1億9000万人と発表
サイバー攻撃からほぼ1年が経った金曜日の夜、ユナイテッドヘルスは、データ侵害で個人の健康情報が盗まれたアメリカ人の数が1億9000万人に上り、これは米国人口の半数以上に相当すると発表しました。同社は、法律で義務付けられている通り、後日、最新の数値を米国保健福祉省に報告する予定だと述べました。
チェンジ・ヘルスケアが米国の医療システム全体で毎日処理している膨大な量の医療データと数十億件の取引を考えると、ユナイテッド・ヘルスケアの保険に加入していなくても、この侵害の影響を受ける人は数百万人に上ります。
