Malwarebytesはこのほど、「Child health data stolen in registry breach」において、カナダの医療機関であるBetter Outcomes Registry & Network(BORN)が侵害を受け、個人の健康情報を含むデータが流出したと報じた。
BORNは妊娠、出産、小児期に関する重要なデータを収集、解釈、共有し厳格に保護するカナダ オンタリオ州の周産期・新生児・小児登録機関。2023年5月31日にBORNが攻撃を受け、顧客データに影響を及ぼすデータ侵害が明らかになったとされる。
侵害調査によると、個人の健康情報を含むファイルが不正コピーされていたという。コピーされた健康情報は2010年1月から2023年5月までにオンタリオ州で医療施設、医療提供者から提供された生殖能力、妊娠、新生児、小児の医療に関するデータとされる。侵害の原因はファイル転送に利用していた「Progress MOVEit」と呼ばれるソフトウェアの脆弱性にあり、Progressがその存在に気づく前に「Cl0p」と呼ばれるランサムウェアによって悪用されたとみられている(参考:「Progress Software、脆弱性対応としてMOVEit Transferの新Service Packリリース | TECH+(テックプラス)」)。
Malwarebytesは、この脆弱性の影響はBORNだけにとどまらないと指摘している。National Student Clearinghouse(NSC)はProgress MOVEitを使用してファイル転送した結果、全米のおおよそ900の大学や学校も「Cl0p」の被害にあったと見られている。
BORNはこの侵害に対して顧客が行うべき追加の処置はないと説明している。また、現時点では流出したデータが悪用された形跡はなく、ダークWebを含むインターネット上の活動を継続して監視しているとしている(参考:「MOVEit Cybersecurity Incident - BORN Incident」)。
Malwarebytesはこのデータが悪用されて子供に影響が出ることを懸念する場合の対策として、子供の与信情報を凍結して保護する方法について解説している。また、このようなデータ侵害に巻き込まれた場合に個人情報を保護するヒント「Involved in a data breach? Here’s what you need to know」を公開しており、被害発生時に冷静に行動するためにも事前に閲覧しておくことが推奨されている。