概要
米国の医療画像診断プロバイダーであるSimonMed Imagingは、120万人以上の個人情報が流出したデータ侵害について、対象者に通知を行っています。この侵害により、患者の機密情報が危険にさらされた可能性があります。
SimonMed Imagingについて
SimonMed Imagingは、MRI、CTスキャン、X線、超音波、マンモグラフィー、PET、核医学、骨密度検査、インターベンショナルラジオロジーなど、外来の医療画像診断および放射線サービスを提供しています。同社は米国の11州で約170の医療センターを運営し、年間収益は5億ドルを超えています。
データ侵害の詳細
SimonMedのシステムは、2025年1月21日から2月5日にかけてハッカーによって侵害され、同社ネットワークへの不正アクセスを許しました。SimonMedは、ベンダーからの警告により1月27日に侵害を認識し、翌日にはネットワーク上の不審な活動を確認しました。
SimonMedの対応と影響
同社は侵害発覚後、直ちに調査を開始し、状況を封じ込めるための措置を講じました。これには、パスワードのリセット、多要素認証の追加、エンドポイント検出および対応(EDR)監視の導入、サードパーティベンダーのシステムへの直接アクセスの削除、信頼できる接続へのインバウンドおよびアウトバウンドトラフィックの制限が含まれます。また、法執行機関に通知し、データセキュリティおよびプライバシーの専門家の協力を得ました。
SimonMedは、流出した情報の具体的な内容を「氏名」以外には公表していませんが、医療画像診断企業が保管するデータの種類を考慮すると、非常に機密性の高い情報が含まれている可能性があります。ただし、同社は10月10日時点で、アクセスされた情報が悪用された証拠はないと強調しています。影響を受けた患者には、Experianを通じて無料の個人情報盗難保護サービスが提供されています。
Medusaランサムウェアの関与
この攻撃は、Medusaランサムウェアが2月7日に自身の恐喝ポータルでSimonMed Imagingを標的としたと主張したことで明らかになりました。Medusaは、身分証明書のスキャン、患者の詳細が記載されたスプレッドシート、支払い詳細、口座残高、医療報告書、生のスキャンなど、212GBのデータを盗んだと主張し、その証拠として一部のデータを公開しました。当時、攻撃者は100万ドルの身代金と、公開を1日延長するための1万ドルを要求していました。
現在、SimonMed ImagingはMedusaランサムウェアのデータ漏洩サイトに掲載されていません。これは通常、同社が身代金交渉に応じ、ハッカーに支払いを行ったことを示唆しています。
Medusaランサムウェアの脅威
Medusaは、2023年に登場したRaaS(Ransomware-as-a-Service)オペレーションであり、ミネアポリス公立学校(MPS)やトヨタファイナンシャルサービスへの攻撃で悪名を馳せました。2025年3月には、FBI、CISA、MS-ISACによる共同勧告がMedusaランサムウェアの活動について警告を発し、この脅威グループが米国の300以上の重要インフラ組織に影響を与えたと指摘しています。