米国ミシガン州の医療大手マクラーレン・ヘルスケア(McLaren Health Care)は2025年6月23日、2024年7月17日に発生したサイバー攻撃により743,131人の個人情報が漏洩したと発表した。
攻撃対象はデトロイト市にあるカルマノス・がん研究所(Karmanos Cancer Institute)で、8月5日まで発見されなかった。漏洩した情報は氏名、社会保障番号、運転免許証番号、医療情報、健康保険情報である。名指しで言及はしなかったものの、この攻撃はランサムウェアグループINCによって行われたと見られている。
マクラーレンはミシガン州内で複数の病院を運営し、多数の保険加入者を抱えている。同社は2023年7月にもALPHV/BlackCatグループによる攻撃を受け、2,192,515件の情報が漏洩したとされている。前回の攻撃では犯罪者が約4週間ネットワークに潜伏していた。
マクラーレンは被害者に12ヶ月間の無料信用監視サービスを提供するが謝罪はしていない。複数の法律事務所が集団訴訟の準備を進めている。
From: 
Second attack on McLaren Health Care in a year affects 743k people
【編集部解説】
今回のマクラーレン・ヘルスケアの事例は、医療業界におけるサイバーセキュリティの深刻な現状を浮き彫りにしています。特に注目すべきは、同一組織が1年間で2度も大規模なランサムウェア攻撃を受けているという事実です。
2023年7月のALPHV/BlackCat攻撃では約219万人、そして2024年7月のINC攻撃では約74万人の情報が漏洩しました。これは単なる偶然ではなく、医療機関が持つ構造的な脆弱性を示唆しています。
INCランサムウェアグループは2023年7月から活動を開始し、主に医療分野を標的としています。同グループはCitrix NetScalerの脆弱性(CVE-2023-3519)を悪用してシステムに侵入し、二重恐喝型の攻撃を展開することで知られています。
医療データが狙われる理由は明確です。患者の個人情報、社会保障番号、医療記録は闇市場で高値で取引される貴重な資産となっています。特に米国では医療費が高額なため、保険詐欺や医療詐欺に悪用される可能性が高く、犯罪者にとって魅力的なターゲットとなっているのです。
今回の攻撃で特に深刻なのは、発見までに約3週間を要したという点です。7月17日に侵入されながら8月5日まで検知できなかったことは、既存のセキュリティ監視体制の限界を露呈しています。
さらに懸念されるのは、フォレンジック調査の完了まで多くの時間がかかったことです。2024年8月の発見から2025年6月の通知まで被害範囲の特定に時間を要したのは、システムの複雑さと攻撃の巧妙さを物語っています。
この事件が医療業界全体に与える影響は計り知れません。患者の医療機関への信頼失墜、規制当局による監視強化、そして医療機関のセキュリティ投資増加が予想されます。
長期的には、医療機関のデジタル化推進にブレーキがかかる可能性もあります。しかし、セキュリティ技術の発展と適切な投資により、より安全な医療デジタル基盤の構築も期待できるでしょう。
【用語解説】
CVE-2023-3519
Citrix NetScalerの脆弱性を示す識別番号。CVSS基本スコア9.8の非認証リモートコード実行脆弱性で、INCランサムウェアグループが頻繁に悪用している脆弱性の一つである。
フォレンジック調査
サイバー攻撃の詳細な分析を行う専門的な調査。攻撃の手法、侵入経路、被害範囲、盗まれたデータの特定などを行う。
二重恐喝(Double Extortion)
ランサムウェア攻撃において、ファイルの暗号化に加えて機密データを盗み出し、身代金を支払わなければデータを公開すると脅迫する手法。
NCI指定包括的がんセンター
米国国立がん研究所(National Cancer Institute)が認定する最高レベルのがん治療・研究施設。
メイン州データ侵害通知法
米国で最も厳格なデータ侵害通知要件を持つ州法。多くの企業が全米での侵害事案をメイン州司法長官に届け出ることで、統一的な通知義務を果たしている。
【参考リンク】
McLaren Health Care(外部)
ミシガン州を拠点とする73億ドル規模の統合医療システム。12の病院と732,838人の保険加入者を抱える大手医療グループ。
Barbara Ann Karmanos Cancer Institute(外部)
デトロイト市に本部を置くミシガン州最大のがん研究・治療ネットワーク。NCI指定包括的がんセンターとして700以上の臨床試験を実施。
【参考動画】
【参考記事】
INC Ransomグループについて – 熱血!ヒートウェー部(外部)
INCランサムウェアグループの詳細な技術分析。2023年7月の初出現から医療機関を中心とした攻撃手法、CVE-2023-3519の悪用方法を解説。
2024Q3 サイバー攻撃関連 – SIOS SECURITY BLOG(外部)
2024年8月6日のマクラーレン・ヘルスケア攻撃について、INCランサムウェアグループによるITシステム停止の詳細を報告。
2024年7~8月の脅威動向と代表的な攻撃(後編)|BLOG(外部)
INCランサムウェアグループによるマクラーレン・ヘルスケア攻撃を含む2024年夏期の主要サイバー攻撃動向を分析。
【編集部後記】
今回の事例を見て、皆さんはご自身の医療データがどのように管理されているか気になりませんか?実は私たちの医療情報は想像以上に多くの場所に分散して保存されています。かかりつけ医、検査機関、薬局、保険会社など、それぞれが異なるセキュリティレベルで管理している現実があります。もし皆さんが医療機関を選ぶ際、治療の質だけでなくサイバーセキュリティ対策も考慮要素に含めるとしたら、どのような点を確認されますか?また、自分の医療データがどこにどのように保存されているか、一度確認してみるのも良いかもしれません。
コメントを残す