今年最大級の医療データ侵害のひとつ
NYC Health and Hospitalsは、サイバー攻撃によって少なくとも180万人分の極めて機微な情報が流出したと発表し、2026年に報告された医療分野の侵害としては現時点で最大級のひとつになった。公的医療システムによると、ハッカーは個人データ、医療記録、指紋や手のひらのプリントを含む生体情報スキャンを盗んだという。
規模だけでも重大な事案だが、データの性質が事態をさらに深刻にしている。パスワードとは異なり、生体認証情報は単純にリセットして再発行することはできない。いったん漏えいすると、被害者に長期的なリスクをもたらす。
ネットワーク内での長期潜伏
提供資料に記載された内容として示されている組織の侵害通知によれば、攻撃が検知されたのは2026年2月2日だったが、侵入者は2025年11月から2026年2月までネットワークにアクセスしていた。その期間中、彼らはシステムからファイルをコピーしていた。
組織は、この侵害は匿名の第三者ベンダーで起きた侵害に端を発していると説明した。この点は、医療分野のサイバーセキュリティで繰り返し見られる構図を裏づける。大規模なインフラを持つ大手組織であっても、接続されたサービス提供事業者を通じて脆弱になり得る。
盗まれたデータの範囲は異例に広かった
NYC Health and Hospitalsによると、流出した情報は個人ごとに異なるが、保険や保険契約の詳細、診断、投薬、検査、医療画像、請求とクレームのデータ、支払い情報、さらに社会保障番号、パスポート、運転免許証などの政府発行ID記録が含まれる可能性がある。
報告書はまた、正確な位置情報データも取得されたと伝えており、アップロードされた身分証明書の画像に位置情報が含まれていた可能性を示している。これが多くの記録で確認されれば、プライバシー上の影響は従来のなりすましリスクを超えて広がることになる。
バイオメトリクスが際立つ理由
指紋と手のひらのプリントが含まれていることで、侵害の深刻度は大きく高まる。生体データは永続的だ。悪用されたり再配布されたりすれば、クレジットカードやパスワードが流出した場合よりも、被害者が取り戻せる手段ははるかに少ない。
医療システムはなぜ生体データを保存していたのかを説明していないが、報告書によれば、採用候補者は一般に犯罪歴チェックのために指紋提出を求められるという。患者の生体情報も関与していたかどうかは、まだ明らかではない。
公的医療への警告
NYC Health and Hospitalsは米国最大の公立医療システムで、100万人を超えるニューヨーカーを支えている。その多くは無保険か、州の医療給付を受けている。この属性は、今回の侵害をとりわけ重大なものにする。公的医療システムは大量の機微な記録を抱える一方で、厳しい財政・技術・運用上の制約の下で運営されている。
この事件は、医療分野が依然として金銭目的のサイバー犯罪者にとって格好の標的であることを改めて示している。医療記録や身元情報は価値が高く、代替が難しく、複雑なベンダーネットワーク全体に分散していることが多い。攻撃者が弱点を見つければ、その下流の被害は甚大になり得る。
被害者にとって次の関心は実務的なものだ。どのような保護、通知、長期モニタリングが続くのか。業界全体にとっては、メッセージはさらに明確だ。医療では、第三者経由の露出と検知の遅れが、システム侵害を長期的な個人保護の問題へ変えてしまうには十分だ。
この記事はTechCrunchの報道に基づいています。 元記事を読む.
Originally published on techcrunch.com
