ランサムウェアで「かなりの割合のアメリカ人」の医療記録が盗まれたとヘルスケア大手が公表、35億円の身代金を支払うもデータ流出を防げず損害拡大

ランサムウェアによりニコニコ動画をはじめとするKADOKAWAの複数サービスが停止するなど、ランサムウェア被害は日本の企業や機関にとっても対岸の火事ではありません。アメリカ人の3分の1の健康データを扱う医事管理システム大手・Change Healthcare(CHC)が、2024年2月に発生したランサムウェア攻撃の調査結果として、「かなりの割合のアメリカ人に関する膨大なデータ」が盗み出されたと発表しました。
Change Healthcare HIPAA Substitute Notice | Change Healthcare
https://www.changehealthcare.com/hipaa-substitute-notice
Change Healthcare lists the medical data stolen in ransomware attack
https://www.bleepingcomputer.com/news/security/change-healthcare-lists-the-medical-data-stolen-in-ransomware-attack/
CHCは2024年2月21日に、同社のシステムでランサムウェアが展開していることを認識しました。この際、CHCは影響の拡大を防ぐためにシステムを切断して機器の電源を切り、法執行機関に連絡して調査を開始しました。その結果、2月17日～20日の間に大量のデータが流出したことが確認されました。
ランサムウェアでCHCを攻撃したとされているグループは、6TBのデータを盗み取ったと主張しています。
ランサムウェア攻撃の影響が全米7万カ所の薬局のうち90％以上に波及、ハッカーは6TBのデータを盗んだと主張 - GIGAZINE

サイバーセキュリティの専門家の協力により流出データの検証を行っていたCHCは6月20日に、「分析の結果、CHCは影響を受けたデータがアメリカのかなりの割合の人々に及ぶ可能性があることを正式に確認しました」と発表しました。
調査は最終段階ですが、依然として進行中であるため、まだ誰のどのデータが被害に遭ったかは完全に把握されていませんが、氏名、住所、生年月日、電話番号、電子メールといった連絡先に加え、次の中から1つ以上のデータが含まれているおそれがあります。
・健康保険情報(健康保険プラン、保険会社、会員番号、医療扶助事業に関するID番号など)
・健康情報(医療記録番号、医療提供者、診断、医薬品、検査結果、画像、ケア、治療などに関するもの)
・請求書、課金および支払情報(請求番号、口座番号、請求コード、支払カード、財務および銀行情報、決済額、支払残高など)
・その他の個人情報(社会保障番号、運転免許証、州ID番号、パスポート番号など)
影響を受ける範囲は一様ではありませんが、これまでのところ完全な病歴が流出したケースはないとのこと。また、これらの情報は患者本人のものとは限らず、医療サービスに料金を支払った人のデータの場合もあります。
CHCは、自分が被害を受けたかどうか確認したい人からの電話照会の受付を開始するとともに、7月下旬からは被害者に対する正式なデータ漏えい通知書の郵送を行う予定としています。
事態の収拾のため、CHCの親会社であるUnitedHealthはBlackCatと呼ばれるランサムウェアグループに2200万ドル(約35億円)の身代金を支払っています。この身代金はBlackCatと攻撃に関与した別の関連組織とで山分けされる手はずでしたが、BlackCatが全額を持ち逃げしたため、身代金を受け取れなかった関連組織は「盗み出したデータを約束通り削除するのをやめた」と発表しました。
その後、関連組織はCHCから窃取した個人情報の一部をデータ流出サイトでリークし、追加の支払いを要求しました。なお、このリークも間もなく削除されているため、これはUnitedHealthが追加の身代金要求に応じた事を示していると、IT系ニュースサイトのBleepingComputerは指摘しました。
過去には身代金を支払った組織の8割が2度目の被害を受けているとの調査結果が発表されており、身代金の支払いはサイバー犯罪組織を助長するだけだという観点から、日本も加盟しているアメリカ主導の国際ランサムウェア対策イニシアチブ(CRI)は身代金を支払わない方針を掲げています。
ランサムウェアに身代金を支払わない方針をアメリカ主導の国際ランサムウェア対策イニシアチブが誓約 - GIGAZINE

UnitedHealthは、CHCへのランサムウェア攻撃で発生した損失は2024年4月時点で8億7200万ドル(約1400億円)と見積もっており、今後の調査と復旧により損失額はさらに増大する可能性があるとのことです。