B
今週中
米国最大の公立病院システムであるNYC Health + Hospitalsにおいて、サードパーティベンダー経由のセキュリティ侵害が発生し、約180万人の機密情…
📌 一言でいうと
米国最大の公立病院システムであるNYC Health + Hospitalsにおいて、サードパーティベンダー経由のセキュリティ侵害が発生し、約180万人の機密情報が流出しました。流出したデータには、医療記録、指紋や掌紋などの生体認証情報、クレジットカード番号、社会安全番号(SSN)などが含まれています。攻撃期間は2025年11月25日から2026年2月11日までとされており、現在は影響を受けたアカウントのリセットとセキュリティ強化が行われています。
🔍該当判定
- ニューヨーク公立病院システム(NYC Health + Hospitals)の医療サービスを利用したことがある
- NYC Health + Hospitalsの職員として勤務している、または過去に勤務していた
- NYC Health + Hospitalsが提供する健康保険プラン「MetroPlus」に加入している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
サードパーティベンダーのアクセス権限を最小限に制限(最小権限の原則)し、定期的な監査を実施すること。また、特権アカウントへの多要素認証(MFA)の導入と、異常なデータ転送を検知する監視体制の強化を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】NYC Health + Hospitalsにおける大規模データ流出事例について
お疲れさまです。米国の医療機関で発生した大規模な情報漏洩事件に関する情報共有です。
■ 概要
NYC Health + Hospitalsにて、サードパーティベンダーの脆弱性を突いた攻撃により、約180万人の患者・職員の機密情報(医療情報、生体認証、決済情報、SSN等)が窃取されました。攻撃期間は2025年11月から2026年2月までと長期にわたっています。
■ 影響範囲
- サードパーティベンダー経由でネットワークアクセス権限を持つ外部委託先および連携システム
■ 対応手順
1. 外部ベンダーに付与しているシステム権限の棚卸しと、不要な権限の削除を実施してください。
2. サードパーティ接続点におけるログ監視を強化し、不審なデータエクスポートがないか確認してください。
3. 特権IDに対する多要素認証(MFA)の適用状況を再確認してください。
■ 参考情報
- iThome ニュース記事
対応優先度: 中
対応期限: 次回定期監査まで
お疲れさまです。米国の医療機関で発生した大規模な情報漏洩事件に関する情報共有です。
■ 概要
NYC Health + Hospitalsにて、サードパーティベンダーの脆弱性を突いた攻撃により、約180万人の患者・職員の機密情報(医療情報、生体認証、決済情報、SSN等)が窃取されました。攻撃期間は2025年11月から2026年2月までと長期にわたっています。
■ 影響範囲
- サードパーティベンダー経由でネットワークアクセス権限を持つ外部委託先および連携システム
■ 対応手順
1. 外部ベンダーに付与しているシステム権限の棚卸しと、不要な権限の削除を実施してください。
2. サードパーティ接続点におけるログ監視を強化し、不審なデータエクスポートがないか確認してください。
3. 特権IDに対する多要素認証(MFA)の適用状況を再確認してください。
■ 参考情報
- iThome ニュース記事
対応優先度: 中
対応期限: 次回定期監査まで
Subject: [Info] Large-scale Data Breach at NYC Health + Hospitals
Dear Team,
We are sharing details regarding a significant data breach at NYC Health + Hospitals in the US.
■ Overview
Approximately 1.8 million records were stolen via a security incident at a third-party vendor. The stolen data includes highly sensitive medical records, biometric data (fingerprints), credit card details, and Social Security numbers. The breach persisted from November 2025 to February 2026.
■ Scope
- Third-party vendors with network and system access.
■ Recommended Actions
1. Review and audit all access permissions granted to third-party vendors (Principle of Least Privilege).
2. Enhance monitoring of logs at third-party integration points to detect unauthorized data exfiltration.
3. Ensure Multi-Factor Authentication (MFA) is strictly enforced for all privileged accounts.
■ Reference
- iThome Security News
Priority: Medium
Deadline: Next scheduled audit
Dear Team,
We are sharing details regarding a significant data breach at NYC Health + Hospitals in the US.
■ Overview
Approximately 1.8 million records were stolen via a security incident at a third-party vendor. The stolen data includes highly sensitive medical records, biometric data (fingerprints), credit card details, and Social Security numbers. The breach persisted from November 2025 to February 2026.
■ Scope
- Third-party vendors with network and system access.
■ Recommended Actions
1. Review and audit all access permissions granted to third-party vendors (Principle of Least Privilege).
2. Enhance monitoring of logs at third-party integration points to detect unauthorized data exfiltration.
3. Ensure Multi-Factor Authentication (MFA) is strictly enforced for all privileged accounts.
■ Reference
- iThome Security News
Priority: Medium
Deadline: Next scheduled audit