概要
米国の医療画像診断プロバイダーであるサイモンメッド・イメージング(SimonMed Imaging)は、今年1月に発生したデータ侵害により、120万人以上の患者の機密情報が流出したことを通知しています。
サイモンメッド・イメージングは、MRI、CTスキャン、X線、超音波、マンモグラフィーなど、幅広い医療画像診断および放射線サービスを提供しており、米国の11州で約170の医療センターを運営しています。
侵害の詳細と対応
当局に提出された通知によると、ハッカーはサイモンメッドのシステムを侵害し、2025年1月21日から2月5日までの約3週間にわたり同社のネットワークにアクセスしていました。
サイモンメッドは、1月27日にベンダーからのセキュリティインシデント報告を受けて侵害を認識し、翌日にはネットワーク上の不審な活動を確認しました。同社は「犯罪的攻撃の被害者であることを発見すると、直ちに調査を開始し、状況を封じ込めるための措置を講じた」と述べています。
講じられた対策には以下のものが含まれます:
- パスワードのリセット
- 多要素認証(MFA)の導入
- エンドポイント検出および対応(EDR)監視の追加
- サードパーティベンダーのシステムへの直接アクセスおよび関連ツールの削除
- 信頼できる接続へのインバウンドおよびアウトバウンドトラフィックの制限
同社はまた、法執行機関に通知し、データセキュリティおよびプライバシーの専門家のサービスを利用しました。
流出した可能性のある情報
サイモンメッドは、流出した情報について「氏名」以外に具体的に公表していませんが、医療画像診断企業がシステムに保存するデータの種類を考慮すると、非常に機密性の高い情報が含まれている可能性があります。
攻撃を主張したMedusaランサムウェアは、212GBのデータを窃取したと主張しており、その中には以下のものが含まれるとされています:
- IDスキャン
- 患者の詳細が記載されたスプレッドシート
- 支払い詳細と口座残高
- 医療報告書
- 生のスキャンデータ
サイモンメッドは、10月10日時点では、アクセスされた情報が詐欺や身元盗用に使用された証拠はないと強調しています。被害者には、エクスペリアンを通じて無料の身元盗用対策サービスが提供されています。
攻撃者「Medusaランサムウェア」
この攻撃は、Medusaランサムウェアによって実行されたとされています。Medusaは2月7日に自身の恐喝ポータルでサイモンメッド・イメージングを公表し、窃取したデータの証拠として一部をリークしました。ハッカーは当時、100万ドルの身代金と、窃取した全ファイルを公開するまでの1日延長につき1万ドルを要求していました。
現在、サイモンメッド・イメージングはMedusaランサムウェアのデータリークサイトには掲載されていません。これは通常、同社が身代金交渉を行い、ハッカーに支払いを行った可能性を示唆しています。
Medusaランサムウェア・アズ・ア・サービス(RaaS)は2023年に活動を開始し、ミネアポリス公立学校(MPS)やトヨタ・ファイナンシャル・サービスへの攻撃で悪名を馳せました。2025年3月には、FBI、CISA、MS-ISACが共同でMedusaランサムウェアの活動について警告を発し、米国で300以上の重要インフラ組織に影響を与えたと指摘しています。