Himsのデータ侵害により機密性の高い健康記録が流出

テレヘルス大手Himsがデータ侵害により医療記録を流出

テレヘルス企業のHims & Hers Healthは、企業が保有する個人情報の中でも特に機密性の高いカテゴリーである「保護医療情報（PHI）」が流出するデータ侵害が発生したことを認めました。この侵害は、脅威アクターが同社の利用するサードパーティ製カスタマーサポートプラットフォームへ不正アクセスしたことによって発生しました。流出したデータには、カスタマーサポートのチケットに含まれる情報が含まれており、テレヘルスというコンテキストにおいては、処方箋、医療相談、個人の健康状態に関連する詳細情報を意味します。

ハッカーグループのShinyHuntersがこの攻撃への関与を表明しました。同グループはサイバーセキュリティ業界において大規模なデータ窃取活動で広く知られており、近年いくつかの注目度の高い侵害事件との関連が指摘されています。同グループの関与により、窃取されたデータがその後どのように扱われるかについて、恐喝、ダークウェブ市場での転売、または被害ユーザーを標的にしたフィッシングキャンペーンの可能性を含め、直ちに懸念が高まっています。

なぜサードパーティベンダーがヘルスケアセキュリティの弱点となるのか

今回の侵害において最も重要な詳細のひとつは、侵害が発生した場所です。Himsのコアインフラ内部ではなく、サードパーティ製カスタマーサポートプラットフォームを通じて発生しました。このパターンはますます一般的となり、その影響もますます深刻になっています。

大企業はカスタマーサポート、請求処理、データストレージなどの機能を専門ベンダーにアウトソーシングするのが通例です。それらのベンダーそれぞれが、企業の攻撃対象領域の延長となります。ユーザーがテレヘルスサービスに登録する際、そのユーザーはその企業にデータを委託しているだけでなく、その企業が取引するすべてのベンダー、請負業者、ソフトウェアプロバイダーをも信頼していることになります。

これは特に医療分野において問題となります。米国の法律の下、PHIを取り扱う企業は、業務提携先やベンダーがHIPAAコンプライアンス基準を満たすことを確保する義務があります。しかし、書類上のコンプライアンスが常に実世界での効果的なセキュリティに結びつくわけではありません。Himsのような資金力のある企業が自社の防御に多大な投資を行っていても、セキュリティ管理の脆弱なベンダーを通じて依然として危険にさらされる可能性があります。

Himsの侵害は孤立した事例ではありません。ヘルスケアおよびテレヘルス企業は、保有するデータが非常に価値が高いという理由から、まさに主要な標的となっています。医療記録は、容易に変更できない情報を含み、保険詐欺、なりすまし犯罪、標的型ソーシャルエンジニアリングに利用できるため、犯罪市場においてクレジットカード番号よりも大幅に高い価格で取引されます。

あなたへの影響

Himsまたはhims & Hersのユーザーであれば、カスタマーサポートのチャンネルを通じて共有した情報が流出した可能性があると考えるべきです。これには氏名、連絡先情報、サポートチームと共有した医療相談や処方箋に関する詳細情報が含まれる可能性があります。

より広い視点から見ると、この侵害は、機密性の高い個人情報を集中管理システムに保存することに伴うリスクを改めて思い知らせてくれます。テレヘルスプラットフォームは利便性を中心に構築されており、その利便性はしばしばあなたの健康データを一か所に集約することを意味し、攻撃者にとって魅力的な標的を生み出します。企業が保有するデータが多く、そのデータを共有するベンダーが多いほど、何か問題が発生した際の潜在的な被害範囲は広がります。

これはテレヘルスサービスを避けるべきだという意味ではありません。多くの人にとって、テレヘルスは他の方法では入手困難または費用のかかる医療へのアクセスを提供しています。しかし、いかなるデジタルヘルスプラットフォームにおいても、共有する情報について慎重に考えるべきだということを意味します。サポートチケットやチャット機能を通じた情報共有も含め、それらの情報は企業の主要システム外で保存・処理される可能性があります。

健康データ侵害後に取るべき対策

Hims & Hersまたは類似のテレヘルスプラットフォームをご利用の場合、今すぐ実施する価値のある具体的な手順を以下に示します：

• フィッシングの試みを監視する。 健康関連データを入手した攻撃者は、それを利用して非常に説得力の高いフィッシングメッセージを作成することが多くあります。あなたの健康状態、薬、またはプラットフォームとの過去のやり取りに言及する迷惑メールやメッセージには懐疑的になってください。
• アカウントを確認する。 Himsアカウントおよびリンクされている支払い方法に不審なアクティビティがないか確認してください。不審な点があれば、プラットフォームと金融機関の両方に報告してください。
• なりすまし詐欺を監視する。 医療なりすまし詐欺（あなたの情報を使って不正に処方箋や保険給付を取得すること）は発見が困難な場合があります。主要な信用情報機関に不正警告を申請し、受けていない医療サービスが計上されていないか保険明細書を監視することを検討してください。
• サポートチケットで共有する情報を制限する。 今後は、いかなる企業のカスタマーサポートチャンネルも、独自のセキュリティ体制を持つサードパーティベンダーが担当している可能性があることを念頭に置いてください。厳密に必要な以上の詳細情報の共有は避けてください。
• 侵害に関する最新情報を入手する。 侵害の範囲や、クレジット監視サービスなどHimsが提供する対応策について、同社からの公式連絡に注目してください。

ヘルスケア企業におけるデータ侵害はなくなりません。より多くの医療サービスがオンラインに移行するにつれ、デジタルプラットフォームが保有する機密医療データの量は増加し続けるでしょう。これらのサービスを注意深く、情報に基づいて利用することは、一般の人々が取り得る最も効果的な防御手段のひとつです。誰があなたのデータを保有し、それがどのように扱われるかを理解することは、自分自身を守るための合理的な出発点です。