米国の医療大手ユナイテッド・ヘルス・グループ(UnitedHealth Group)は、2024年2月に発生した子会社のChange Healthcare(チェンジ・ヘルスケア)へのランサムウェア攻撃により、1億件以上の個人情報や医療データが漏洩したと正式に発表しました。これは、近年の医療業界で最大規模のデータ漏洩事件です。
サイバー攻撃の経緯と被害の規模
2024年2月の攻撃は、米国内の医療システム全体に大きな影響を与えました。医療費の請求や薬の処方に遅延が発生し、多くの患者が全額負担で医療サービスを受けざるを得なくなる事態となりました。
BlackCat(ALPHV)による犯行声明
この攻撃を実行したのは、ランサムウェア集団BlackCat(別名 ALPHV)です。攻撃者は、多要素認証が無効化された同社のCitrixリモートアクセスサービスを盗まれた資格情報を使って突破し、6テラバイト(TB)のデータを盗み出した後、ネットワーク内のシステムを暗号化しました。
身代金支払いと再脅迫の発生
ユナイテッド・ヘルスは、盗まれたデータの削除と復号ツールを受け取るために、身代金の支払いを余儀なくされたことを認めています。攻撃者の一味によると、その**身代金額は2,200万ドル(約33億4千万円)**にのぼるとされています。
二重脅迫とRansomHubの登場
攻撃者グループ内部でのトラブルも発生しました。BlackCatの関連グループは、ランサム金を独占し、内部の協力者を裏切ったと報じられています。その後、新たなランサムウェア集団RansomHubが、削除されていないデータの一部を公開し、さらなる支払いを要求する二重脅迫が行われました。ユナイテッド・ヘルスがこの二度目の脅迫にも応じた可能性があります。
漏洩した個人情報の詳細
攻撃で流出した情報には、次のようなセンシティブな個人データが含まれます:
- 健康保険情報:保険プラン、ID番号、Medicare/Medicaid番号など
- 医療情報:診断名、処方薬、検査結果、画像、治療内容
- 請求・支払い情報:請求番号、カード情報、銀行情報
- その他の個人情報:社会保障番号、運転免許証番号、パスポート番号
業績への影響
ユナイテッド・ヘルス・グループは、4月に発表したレポートで、このランサムウェア攻撃による損失が8億7200万ドル(約1327億7千万円)にのぼったと報告しています。さらに2024年第3四半期までの累計損失は24億5000万ドル(約3732億円)に達する見込みです。
まとめ
今回のランサムウェア攻撃は、医療業界全体への深刻な影響と、セキュリティの脆弱性が与えるリスクを浮き彫りにしました。医療機関のサイバーセキュリティ対策の強化が、患者の安全と医療システムの安定運用に不可欠です。今後、企業側の対応と捜査機関の調査結果に注目が集まります。
