データ侵害ニュース

大規模な医療情報漏洩事件で、生体認証データ、診断情報、銀行口座情報が流出

ピーター・アルンツ| 2026年5月19日
デジタル医療情報

NYC Health + Hospitals(NYC H+H)、第三者ベンダーを介して数ヶ月にわたり発生していた情報漏洩に関する通知を発表しました。この漏洩により、少なくとも180万人分の極めて機密性の高い患者および従業員のデータが流出しており、その内容には医療記録、政府発行の身分証明書、位置情報データ、さらには指紋や掌紋といった生体認証データも含まれています。

NYC H+Hは2026年2月2日に不審な活動を検知し、その後、2025年11月下旬頃から2026年2月にかけて、不正な侵入者が同社のネットワークの一部にアクセスしていたことを確認した。

この期間中、攻撃者は個人情報、医療情報、金融情報、生体認証情報を含むファイルをコピーしました。この事案は2026年3月24日に米国保健社会福祉省HHS) に報告され、現在少なくとも180万人が影響を受けており、2026年に入ってこれまでに発生した医療分野の情報漏洩事件としては最大規模の一つとなっています。

HHSへの届出

NYC H+Hは、この侵入事件の原因を、同社のシステムへのアクセス権限を持っていたある第三者ベンダー(社名は非公表)における情報漏洩にあると見ている。これは、ベンダーが攻撃者にとっての侵入経路となり、その結果、顧客のシステムやデータへのアクセスが許されてしまうという、最近のサプライチェーン侵害の典型的なパターンに合致する。

こうした事件は、個人の健康データがいかに深刻な長期的な詐欺や、ストーカーウェアのような虐待、そして取り返しのつかないプライバシーの侵害を助長し得るかを如実に示す典型的な例である。

デジタルフットプリントスキャン

個人データが漏洩していないか確認してください。

データの種類

NYC H+Hの通知および関連記事によると、流出したデータセットは、その範囲が異例なほど広く、詳細なものとなっている。

このデータを3つの明確な層に分けることができます:

  • 他の流出データセットと組み合わせて悪用される可能性のある一般的な個人識別情報(PII):氏名 および連絡先情報社会保障番号、運転免許証番号、パスポート番号、その他の政府発行のID番号、納税者番号、IRS(米国国税庁)の身元保護PINなどを含む政府発行の識別子また、今回の情報漏洩により、請求・支払い記録に加え、銀行やクレジットカードのデータも流出しており、これらは直接的な金銭的被害や、極めて巧妙なソーシャルエンジニアリング攻撃に悪用される恐れがあります。
  • 医療および保険データ:詳細な診断内容、服薬リスト、検査結果などは、雇用主や家族、保険会社には伏せていた健康状態を露呈させる恐れがあり、それにより恐喝、標的型詐欺、差別を招く可能性があります。また、保険や保険金請求データが悪用され、不正な請求が行われたり、保険金の支払先が不正に変更されたり、医療システム内で他人の身分を詐称したりする恐れがあります。
  • 生体認証情報:これらは、一生付きまとう傾向があるため、病歴と同様、あるいはそれ以上に機密性の高い情報です。生体認証情報は、簡単に消去したり置き換えたりすることはできません。一度漏洩してしまうと、大規模な生体認証データベースは、それを信頼できる識別手段として依存しているすべての人々にとって、長期的なリスク要因となります。

残念ながら、これはより広範な傾向の一部に過ぎません。FBIのインターネット犯罪通報センター(IC3)の報告によると、2025年には医療分野がランサムウェアの標的となった重要インフラセクターの中で最も多く、460件のランサムウェア被害と182件の医療データ漏洩が報告されました。

チェンジ・ヘルスケアに対するランサムウェア攻撃だけで、1億9000万人以上のアメリカ人の医療情報や請求データが流出しており、たった1つの医療仲介業者がシステム全体に混乱をもたらし得ることが浮き彫りになった。

関与してしまった場合の対処法

NYC Health + Hospitalsと何らかのやり取りをしたことがある場合、お客様の個人情報が影響を受けている可能性があります。

NYC Health + Hospitalsは、Kroll Information Assurance, LLCを通じて、同機関で勤務した経験のある方、または同機関の患者であったすべての方を対象に、信用情報モニタリングを含む個人情報盗難の防止・被害軽減サービスを、24か月間無料で提供しています。詳細については、同機関のデータ漏洩に関する通知をご確認ください。

データ漏洩の被害に遭った可能性がある場合は、以下の手順に従って身を守ってください:

  • 会社の指示を確認してください。各侵害事案は異なるため、会社に連絡して発生した内容を確認し、提供される具体的な指示に従ってください。
  • パスワードを変更する。盗まれたパスワードは、変更することで窃盗犯に使えなくすることができます。他のことには使わない強力なパスワードを選びましょう。さらに良い方法は、パスワード・マネージャーにパスワードを選んでもらうことです。
  • 二要素認証(2FA)を有効にしてください可能であれば、第二要素としてFIDO2準拠のハードウェアキー、ノートパソコン、またはスマートフォンを使用してください。一部の2FA方式はパスワードと同様にフィッシング攻撃の標的となり得ますが、FIDO2デバイスに依存する2FAはフィッシング攻撃の対象になりません。
  • なりすましに注意してください。犯罪者が、ハッキング被害に遭ったプラットフォームを装って連絡してくる可能性があります公式ウェブサイトで被害者への連絡が行われているか確認し、別の連絡手段を通じて連絡してきた相手については、その身元を必ず確認してください。
  • 時間をかけましょう。フィッシング攻撃は、あなたが知っている人物やブランドになりすますことが多く、未配達、アカウントの停止、セキュリティ警告など、緊急の注意が必要なテーマが使われています。
  • カード情報を保存しないことを検討してください。サイトにカード情報を記憶させる方が確かに便利ですが、小売業者が情報漏洩被害に遭った場合、リスクが高まります。
  • 個人情報の不正取引をオンラインで検知した場合に通知し、事後の復旧を支援するアイデンティティ監視を設定してください

正直なところ、シークレットウィンドウには限界があります。

情報漏洩、ダークウェブでの取引、クレジットカード詐欺。Malwarebytes Identity Theft これらすべてを監視し、迅速に警告を発し、さらに個人情報盗難保険も付帯しています。 

著者について

ピーテル・アルンツ

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。

最新記事

詐欺
アルディの肉詰め合わせ詐欺

Facebook 、アルディの格安肉セットを売り込み、その代わりに支払い情報を盗む

5月19, 2026

Facebook 拡散している偽のアルディの「ミートボックス」キャンペーンは、被害者をFacebook 個人情報や支払い情報を提供させようとするFacebook 。

AI
YouTube 検出

YouTube deepfakes対策のため、ユーザーの顔YouTube

5月19, 2026

「本人確認技術」deepfakes保護を約束しているが、その見返りとして生体認証データを提供することに対し、一部のクリエイターは不安を抱いている。

ニュース
パスワードを覚える

マイクロソフトは、Edge平文パスワードの扱いを変更しています

5月18, 2026

ある研究者から懸念が示されたことを受け、Edge に保存されたパスワードは、ブラウザのセッション全体を通じてメモリ内に平文で保持Edge 。

関連記事

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺