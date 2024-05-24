UnitedHealth GroupのCEO、Andrew Witty氏は、2月に発生したChange Healthcare社へのランサムウェア攻撃について、5月1日の議会で質問に答えていました。聴聞会で、彼は自分の組織が攻撃者からのランサムウェア要求額を支払ったことを認めました。ALPHVとしても知られるハッカー組織BlackCatが、ビットコインを経由して2,200万米ドルの支払いを受け取ったことが報告されています。
ランサムウェアによる支払いを行ったにもかかわらず、Witty氏はChange Healthcare社がデータを取り戻せなかったことを伝えました。これはランサムウェア攻撃ではよくある話であり、IBMを含む多くの専門家がランサムウェアの支払いを推奨していない多くの理由の1つです。適切なバックアップとデータ復旧プロセスがあれば、組織は自社のデータを迅速に復元し、業務の中断を減らすことができます。2023年、Change Healthcare社が行ったようなランサムウェアによる支払いは、史上最高の11億米ドル に達しました。
Witty氏の証言によると、ランサムウェア・ギャングのBlackCatは、2月12日に侵害された認証情報を使ってChange Healthcare Citrixポータルにリモートアクセスし、リモート・デスクトップ・アクセスを可能にしました。また、ポータルは多要素認証を利用していませんでした。BlackCatはその後、2月21日に、Change Healthcare社のテクノロジー環境内にランサムウェアをデプロイし、Changeのすべてのシステムを暗号化してアクセス不能にしました。リーダーたちは侵入ポイントを知らなかったため、Change社のデータセンターとの接続を切断し、これによりマルウェアがChange社の環境の外で他のUnited Health Groupのシステムに拡散するのを防ぎました。
2024 X-Force Threat Intelligence Indexは、2021年11月に発生したBlackCatランサムウェアを、主要なランサムウェア・ファミリーとして特定しました。過去のBlackCat攻撃には、医療、官公庁・自治体、教育プログラム、製造、ホスピタリティの各セクターが含まれます。しかし、このギャングは、機密の医療データや金融データが漏洩されたいくつかの攻撃に関与しています。BlackCatはRustプログラミング言語を使用することで、検知と分析を非常に困難にする方法でランサムウェアをカスタマイズできます。さらに、BlackCatは攻撃の一環として頻繁に二重恐喝スキームを試みます。
Change Healthcare社に対するランサムウェア攻撃は、保護された医療情報（PHI）と個人情報（PII）を含むファイルで構成されていました。Witty氏は、この侵害には米国人口のかなりの部分に関係している可能性があると述べています。しかし、彼は証言の時点では、医師のカルテやすべての病歴が侵害されたデータに存在するようには見えなかったと述べています。
米国医師会の調査によると、Change Healthcare社の侵害が広範囲に及んだため、臨床医の5人に4人が収入を失い、77％がサービスの中断を経験しました。この調査では、保険会社の経営者の大多数（55％）が、その状況が生み出した請求危機により、請求書と給与の支払いに個人資金を使用していることも判明しました。その他の混乱により、処方箋や医療手順を承認する機能が限られていました。
Change Healthcare社も、今回の攻撃により8億7,200万ドルの損失を被ったと報告しており、損失は10億ドル以上に上ると予想しています。現在、Change Healthcare社に対して24件の訴訟が起こされており、組織は請求を集団訴訟に統合することを求めています。
Witty氏は、自身がランサムウェアへの支払いを行うという決断を個人的に下したと議会に語りました。それは、これまでに下した決断の中で最も困難なものの1つであり、誰も望んでいない決断だと言いました。ランサムウェアの支払いが行われた後も、脅威アクターはダークウェブでデータを共有すると脅迫しました。すべてのデータはまだ特定および回復されていません。
復旧をさらに複雑にしたのは、BlackCatの関連グループであるRansomHubが盗んだデータの少なくとも一部を漏洩し、追加の恐喝を試みたことです。RansomHubは流出したデータの製品の画面をダークウェブの最高入札者に公開しました。Change Healthcare社などの大規模な侵害では、二重のランサムウェア攻撃は珍しいことではなく、多くの人が身代金の支払いを警告する理由の1つです。
Change Healthcare社が復旧プロセスに取り組んでいる中、Witty氏は、侵害の影響を受けた担当者を特定し、通知を発行することに引き続き取り組んでいると議会に述べました。しかし、多くの医療組織やグループは、このプロセスを迅速化する必要があると感じています。5月8日、米国病院協会は会員を代表して、正式な通知手続きを求める書簡を送りました。
「しかし、重要な点は、UHGが保健福祉省の公民権局（OCR）と州規制当局に、法律に基づいて義務付けられているすべての違反通知について単独で責任を負うことを正式に通知し、それらの通知が行われることです」とAHAは書いています。
状況が発展するにつれて、特に議会公聴会の影響が拡大し続けるにつれて、この大規模で広範囲にわたる侵害の影響は拡大し続けるでしょう。
IBM® X-Forceがインシデント対応、脅威インテリジェンス、攻撃的セキュリティサービスなど、サイバーセキュリティに関するあらゆる面でどのように支援できるか知りたい方は、こちらでミーティングのスケジュールをしてください。
サイバーセキュリティーの問題やインシデントが発生している場合は、X-Forceに連絡して支援を受けてください：米国ホットライン 1-888-241-9812 | グローバルホットライン（+001）312-212-8034