Malwarebytesは1月6日(米国時間)、「Dental group lied through teeth about data breach, fined $350,000|Malwarebytes」において、米国の歯科医療グループ「Westend Dental」がランサムウェア被害とデータ侵害を隠蔽したとして35万ドルの罰金を科されたと報じた。
「Westend Dental」は、「Westend Dental LLC」、「Arlington Westend Dental LLC」、「Sherman Westend Dental LLC」、「Fountain Square Westend Dental LLC」、「Lafayette Westend Dental LLC」、「Affordable Westend Dental LLC」など複数の歯科医院をまとめたチェーン店方式の歯科医療グループ。この調査は患者からの苦情を受けて、インディアナ州監察総監室(OIG: Office of Inspector General)が実施したもの。
-
Dental group lied through teeth about data breach, fined $350,000|Malwarebytes
インシデント発生から違反認定までの流れ
サイバー攻撃の発生時期は2020年10月20日頃とみられる。この攻撃によりデータを失ったWestend Dentalは、60日以内に報告を義務付けられているにもかかわらず、これを無視して2年後の2022年10月28日(米国時間)にインディアナ州にデータ侵害通知フォームを提出した。
提出した資料ではデータ消失の原因を「事故によるハードディスクのフォーマット」とし、ランサムウェア攻撃やデータ侵害を否定していた。しかしながら患者からの苦情を受け、インディアナ州監察総監室が調査を開始した。
2023年1月、宣誓証言にてデータ侵害を認める証言があり、これをきっかけに広範な調査が行われた。その結果、医療保険の携行性と責任に関する法律(HIPAA: Health Insurance Portability and Accountability Act)に多数違反していることが明らかになった。
認定された違反は次のとおり。
- HIPAAポリシーと手順を従業員に提供しておらず、また、従業員がすぐに入手できる状態にもなかった
- 2023年11月まで、同社は従業員に対してHIPAAトレーニングを実施していなかった
- HIPAA準拠のリスク分析を実施していなかった。具体例としては、ユーザー名とパスワードを平文で保存していた
- 少なくとも2024年1月までパスワードポリシーがなく、医療情報などの保管にも使用されていた同社のすべてのサーバに、同じユーザー名とパスワードが使用されていた
- 患者情報などの保管に使用されていた同社のサーバへの物理的なアクセス制限が実施されていなかった。一部のサーバに至っては、従業員の休憩室やトイレに無造作に設置されていた
被害実態は闇の中へ
インシデントの原因となったランサムウェアは「Medusa Locker」とされる。ランサムウェア・アズ・ア・サービス(RaaS: Ransomware-as-a-Service)として提供されており、主に医療、教育分野の大企業を標的にする。
米国インディアナ州南部地区地方裁判所が公開した資料によると、同社は必要なフォレンジック調査を実施しておらず、被害者数は不明とされる。当時約17,000人の患者情報を扱っていたが、監視ソフトウェアがなく、影響を受けたシステムの範囲もわかっていない。また、第三者が作成したバックアップが不完全で、影響を受けた患者へ通知することもできなかったとされる(参考:「(PDF) UNITED STATES DISTRICT COURT FOR THE SOUTHERN DISTRICT OF INDIANA INDIANAPOLIS DIVISION, CASE NO. 1:24-cv-2255」)。
一連の違反が確認されたことでWestend Dentalには35万ドルの罰金が科され、同社は支払いに同意した。今後は関連法に遵守することが求められ、また、2023年11月23日時点の患者全員に通知することが義務付けられる。
同社のセキュリティ対策はお粗末と言わざるを得ない。歯科医療とは言え、医療情報はあらゆる手を尽くして保護されるべき個人情報の一つと考えられる。患者を保護するために、すべての医療機関には徹底したセキュリティ対策の実施が望まれている。
フリーWi-Fiがサイバー攻撃に悪用される、日本も危ない
