1000万件超の医療保険情報を入手したと主張するハッカーが、「ダークウェブ」上で最高入札者に販売しようとしている。

この流出データは、「thedarkoverlord」と名乗る人物によって先週末に出品された。米国時間6月27日現在、この人物にコメントを求めたが、返答は得られていない。

この過去最大規模の流出データは、販売者の主張によると約930万件の医療保険記録が含まれているといい、750ビットコインで取り引きされている。27日時点のレートで48万6000ドル相当になる。データには、氏名、住所、電子メールアドレス、電話番号、生年月日、社会保障番号が含まれているという。

販売者の広告からデータの信憑性について確認することはできなかった。これまでに知られている他のハッカーとは異なり、販売者はこれらのデータの出所を明らかにしていない。ニュースサイトMotherboardが、実際に入手したサンプルの一部をユーザーに確認したところ、本物のデータが含まれていることを確認できたという。

このハッカーは、サイトに公開したデータについて、リモートデスクトッププロトコル（RDP）に存在する公開済みのゼロデイ脆弱性を利用して盗み出されたものであるとしている。ユーザーは、この脆弱性を悪用することで、別のユーザーのデスクトップをリモートで閲覧できる。

別のデータファイルには、米国中西部にある匿名のヘルスケア組織のデータ20万7000件が含まれており、170ビットコイン（本稿執筆時点で約11万100ドル相当）で取引されている。

販売者はまた、ジョージア州アトランタの保険加入者約39万7000人分の記録を入手していると主張している。それらの大半は、Blue Cross Blue ShieldやUnited Healthcareからのデータで、値段は300ビットコイン（約19万4000ドル）となっている。

容量が小さいものでは、ミズーリ州ファーミントンの加入者4万7800人分の記録が含まれたデータファイルもあり、これは60ビットコイン（約3万9000ドル）で販売されている。

ハッカーはある説明文で、データが「アクセス可能な内部ネットワーク」にプレーンテキスト形式で保管されていたと記している。事実とすれば、これは医療プライバシー関する米国の規則に違反する恐れがある。そのほか、「Microsoft Access」データベースから盗まれたと思われるデータベースもある。

これらのデータの出所は不明だが、ヘルスケアサービス事業者や病院の顧客や患者のデータが狙われるケースが、ここ数カ月間で増えている。

最新のデータによると、保健医療業界では、データ侵害による1レコードあたりの被害額が過去最大に達しているという。