📋 所長概要:
- 脅威の行動者: 不明(ランサムウェア集団)
- 攻撃ベクトル: フィッシング経由でのランサムウェア配備
- 影響: 数千人の患者に影響を与える PHI の露出
- HIPAA リスク: 高い(侵害通知の遅延)
リスクレベル: 高い(85%)
⚠️ HIPAA適合性アラート:
ミシシッピ大学医学センター(UMMC)は、電子医療記録へのアクセスが遅延したランサムウェア攻撃を経験しました。患者記録システムのダウンタイムにより PHI の露出が発生しました。HIPAA では、侵害通知は60日以内に提出しなければならないことになっています;UMMC は現在、スケジュールを評価しています。
ミシシッピ大学医学センター(UMMC)は、電子医療記録へのアクセスが遅延したランサムウェア攻撃を経験しました。患者記録システムのダウンタイムにより PHI の露出が発生しました。HIPAA では、侵害通知は60日以内に提出しなければならないことになっています;UMMC は現在、スケジュールを評価しています。
| 事象 | 影響 | 脅威の行為者 |
|---|---|---|
| UMMCランサムウェア攻撃 | PHIの露出、ITシステムのダウンタイム | 未公開のランサムウェアグループ |
| EnOcean SmartServer IoTの脆弱性 | コマンド注入の可能性、ASLRバイパス | アミール・ザルツマン (クラロティ・チーム82) |
🔍 よくある質問:
医療機器における主要な脆弱性は何ですか?
最近のアドバイザリは、三菱電機とEnOcean SmartServer IoTにおける重大な欠陥を指摘しています。包括的なコマンド注入と適切な認証が含まれます。これらの脆弱性はリモートコード実行とデータ漏洩を可能にします。
医療機関は ransomware のリスクをどのように軽減できますか?
多層的なセキュリティ対策を実施してください:定期的なバックアップ、フィッシングに関する従業員のトレーニング、エンドポイント検出ソリューション、そして堅固な事態対応計画。
💼 CISO アクションチェックリスト:
1. IoTおよび医療機器のパッチ適用スケジュールを確認してください。
2. フィッシングシミュレーションを実施してスタッフの準備状況を評価する。
3. HIPAAの漏洩通知期限に準拠することを確認する。
4. ランサムウェア攻撃に対する事態対応プロトコルを強化する。
1. IoTおよび医療機器のパッチ適用スケジュールを確認してください。
2. フィッシングシミュレーションを実施してスタッフの準備状況を評価する。
3. HIPAAの漏洩通知期限に準拠することを確認する。
4. ランサムウェア攻撃に対する事態対応プロトコルを強化する。
詳細についてはICS.CISA.GOVにHIPAA.GOV.