コンデュエントの漏洩事件は、米国史上最大級の第三者データ侵害事件へと静かに拡大した。今や真の焦点は、コンデュエントの名すら知らぬ人々を含め、いかに多様なプログラムや雇用主がこの事件に巻き込まれているかにある。
この事件を最初に報じた際、公開資料では影響を受けた個人は約1050万人と推定され、オレゴン州とその他数州に集中していた。新たな州当局の発表によれば、全米での総影響者数は2500万人以上に達し、テキサス州だけでも当初推定の約400万人から1540万人の住民が影響を受けたと報告されている。オレゴン州の影響者数は約1050万人のままである。
これにより、これは記録上最大規模の医療関連情報漏洩事件の一つとなり、攻撃者はコンデュエントのシステム環境内に約3か月間潜伏し、約8TBのデータを持ち出したと報じられている。
コンデュエントという名前を聞いたこともない多くの人々が、どうしてこれほど影響を受けているのか?
2019年、コンデュエント社は自社のシステムが全米で1億人以上へのサービスを支え、フォーチュン100企業の過半数に加え500以上の政府機関にサービスを提供していると発表した。これは、今回の事件で全ての記録が影響を受けたわけではないにせよ、潜在的な被害範囲がいかに広範であるかを示している。
コンデュエントは米国公共サービスおよび企業バックオフィス業務の大部分の舞台裏を担っており、これが被害者リストが断片的に見える理由である。同社のプラットフォームが扱う業務は以下の通り:
- メディケイド、SNAP(補足的栄養支援プログラム)などの州の給付プログラム、および30以上の州におけるその他の政府給付金の支給。
- 州の福祉事務所および医療プログラム向けの郵便室業務、印刷、支払い処理。ブルークロス・ブルーシールドプランなどの大手健康保険会社を含む。
- 主要企業向け法人サービス(少なくとも1社の大手自動車メーカーを含む)において、データ漏洩が確認された従業員のうち、ボルボ・グループの従業員が約17,000名含まれている。
誰が何を持ち去ったのか?
このサイバー攻撃は後にSafePayランサムウェア集団によって犯行声明が出された。
盗まれたデータは連絡先情報をはるかに超える。通知書や規制当局への提出書類には以下が記載されている:
- 正式な氏名、住所、生年月日。
- 社会保障番号およびその他の政府発行の識別番号。
- 医療情報、健康保険の詳細、および関連する請求データ。
コンデュエントは政府機関や雇用主に代わって給付金や人事データを処理しているため、影響を受けたほとんどの人はコンデュエントと直接やり取りしたことがなく、封筒に記載された社名すら認識していない可能性があります。 SNAP給付金、メディケイド保険、その他の州管理医療保険を受給していた場合、または人事管理・請求管理業務をコンデュエント(もしくはその顧客企業)に委託している組織に勤務していた場合、あなたの「顧客関係」が州機関・保険会社・雇用主との間で成立していたとしても、データが同社のシステムを経由していた可能性があります。
なぜこれが最初に見えたよりも悪いのか
この続報が元の記事よりも深刻である理由は三つある:
- より多くの関係者が明らかになった: 州政府や企業顧客による関与の開示が進むにつれ、被害者数は 1000万人から2500万人に増加し、第三者による情報漏洩が初期段階でいかに不透明になり得るかを示している。
- 永続的な識別子:社会保障番号(SSN) に加え、医療データや保険データが組み合わさることで、長期にわたる個人情報の盗難、医療詐欺、そして極めて標的を絞ったフィッシング攻撃が可能となり、被害者は何年も苦しむことになる。
- サードパーティの死角: 多くの対象組織にとって 、「侵害」は自社のログに決して表示されない。なぜなら侵害は、依存しているが制御できないベンダーの環境で発生したためである。
コンデュエント社から予期せぬ手紙が届いたとき、それは間違いではない。これは、あなたのデータが、自分が取引していると思っていた組織から遠く離れた場所で危険に晒される可能性があること、そしてこの漏洩による真の被害は、単一の州の提出書類に記載された数字をはるかに超えて広がっていることを思い出させるものだ。
漏洩したデータの種類によって、お客様に届く通知書の内容が若干異なる場合があります。通知書を受け取った場合は、データ漏洩後の対応手順に関するガイドをご参照いただき、今後の対応についてご確認ください。
脅威を報告するだけでなく、お客様のデジタルアイデンティティ全体を保護します
サイバーセキュリティリスクは見出し以上の広がりを決して許さない。本人確認保護サービスを活用し、あなたとご家族の個人情報を守りましょう。
