ShinyHunters、Amazon One Medicalの8.8TB侵害を主張

ShinyHunters、Amazon One Medicalの8.8TB侵害を主張

ハッキンググループ「ShinyHunters」は、想像し得る限り最も機密性の高いデータカテゴリである個人健康記録に照準を定めました。同グループは、Amazonが所有するプライマリケアサービス「One Medical」に侵入し、8.8テラバイト以上のデータを窃取したと主張しています。脅威インテリジェンス筋によると、ShinyHuntersは交渉の期限を6月22日に設定し、Amazonが応じなければ盗み出したデータを公開すると警告しています。本稿執筆時点で、AmazonもOne Medicalもインシデントの全容を公式に確認していません。

申し立てられた窃取量、8.8TBという莫大な規模は、これが限定的な標的型の抜き出しではないことを示しています。もし事実なら、近年の医療データインシデントの中でも最も重大なものの一つとなるでしょう。

One Medical侵害についてわかっていること

One Medicalは米国全土で会員制のプライマリケアモデルを展開しており、患者はアプリやポータルを通じて予約、医療提供者とのメッセージのやり取り、健康記録へのアクセスを行っています。Amazonは2023年に約39億ドルで同社を買収し、広範なAmazon Healthのエコシステムに統合しました。

これとは別に、One Medical Seniorsは、サードパーティのファイルストレージシステムに関連して、限られた患者に影響するデータセキュリティ事象を報告していますが、これがShinyHuntersの主張と直接結びつくかはまだ確認されていません。

医療データがダークウェブで最も価値のあるものの一つである理由は、まさにそれが不変であるからです。クレジットカードは解約できますが、生年月日や病歴、社会保障番号は変更できません。診断内容、処方箋、保険情報、連絡先を含む記録は、侵害後何年にもわたって保険詐欺、個人情報盗用、標的型フィッシングに悪用され得ます。

ShinyHuntersは、知名度の高い標的を狙うことに慣れています。同グループは以前、Charter Communicationsへの侵害で、ビッシングを用いた攻撃により約490万件のレコードを露出させたと主張しているほか、Zara、Carnival、7-Elevenなどの大手消費者ブランドへの侵害も主張しています。要求が受け入れられなければ、実際にデータを公開する姿勢を示してきました。

医療情報侵害がもたらす特有のリスク

大半のデータ侵害は、金銭的損害と風評被害をもたらします。医療情報侵害はその両方に加え、患者がほとんど想定しない極めて個人的な暴露という要素を付け加えます。

盗まれた健康記録は、メンタルヘルスの診断、リプロダクティブヘルスの履歴、薬物依存治療、HIV感染の有無、慢性疾患を明らかにしかねません。悪意ある者の手に渡れば、脅迫、雇用差別、高度に個人化されたソーシャルエンジニアリング攻撃に利用される恐れがあります。One Medicalのような遠隔医療やプライマリケアのアプリを使う患者は、アプリが洗練されていて、企業が大規模で資金力も豊かだから、自分のデータは本質的に安全だとしばしば思い込みます。今回の侵害が確認されれば、企業の規模がどんなに大きくても、決断力のある攻撃者から保護される保証にはならないことを改めて示すものです。

ShinyHuntersは教育プラットフォームへの侵害にも関連づけられており、高等教育機関の学生データを暴露したInstructure Canvasのインシデントも含まれます。このパターンは、セクターを問わず機会を捉え、手口も洗練されたグループであることを示唆しています。

あなたへの影響

現在または過去のOne Medicalの患者であれば、公式な通知が届く前であっても、今すぐ取るべき具体的な手順があります。

まず、医療保険のアカウントに身に覚えのない請求やアクティビティがないか監視してください。不正請求は、医療データ窃取の最も一般的な結果の一つです。次に、フィッシングの試みに警戒してください。攻撃者が詳細な健康記録を握っていれば、医療提供者や予約履歴、処方箋に言及した、一見正当に見えるメールや電話を作り上げることが可能です。心当たりのない健康関連のメッセージに含まれるリンクはクリックしないでください。

第三に、主要な三つの信用情報機関すべてに信用凍結を設定することを検討してください。健康記録には、新規のクレジット口座をあなたの名義で開設するのに十分な個人識別情報が含まれている場合がしばしばあります。

VPNのようなツールの話になると、正確に理解しておくことが重要です。今回の侵害はOne Medicalのサーバーで発生したものであり、ユーザーの接続経路で起きたものではないため、VPNは侵害を防げませんでした。しかし、公衆Wi-Fiや共有Wi-Fiネットワーク経由で医療ポータルや遠隔医療アプリ、医療保険アカウントにアクセスする際にVPNを使用すると、セッションの認証情報や送信データがローカルで傍受されるリスクは低減します。それは限定的ながらも実在する、理解に値する利点です。接続先プラットフォームのサーバー側セキュリティはまったく別の問題であり、患者が直接コントロールできる範囲は限られています。

患者がコントロールできるのは、侵害が公表された後にどう対応するかです。どれだけ迅速に行動し、どれだけ注意深く監視し、どれだけ疑いの目を持って予期せぬ連絡に対処するか、という点です。

実践すべき対策

• One Medicalのアカウントに不審なアクティビティがないか確認し、すぐにパスワードを変更してください。
• One Medicalアカウントと、連携している医療・保険ポータルで多要素認証を有効にしてください。
• まだ行っていない場合は、Equifax、Experian、TransUnionで信用凍結を設定してください。
• あなたの病歴に言及してくる受信メッセージは、たとえ知っている医療提供者からのように見えても、特に慎重に扱ってください。
• 公衆Wi-Fiで機密性の高い医療アカウントにアクセスしないでください。どうしても必要な場合は、VPNを使用してローカル接続を暗号化してください。
• One Medicalからの公式な侵害通知を注視してください。通知があれば、HIPAAに基づき、どの情報が露出したかについて知る権利が発生します。

One Medicalをめぐる状況は依然として進展中であり、何が盗まれたのか正確な全容が明らかになるまでには、しばらく時間がかかるかもしれません。すでに明らかなのは、大量の機密患者データを保有する医療プラットフォームが依然として高価値の標的であり続けているということであり、患者は公式な確認を待つのではなく、その現実を踏まえて保護措置を取るべきだということです。