要約
減量薬や性機能改善薬などを提供する米テレヘルス大手「Hims & Hers」は、外部の顧客サポート用チケットシステムがハッキングを受け、顧客の個人情報が流出したことを公表した。被害が発生したのは2026年2月4日から7日にかけてで、攻撃手法は従業員を騙すソーシャルエンジニアリングであったとされている。流出したデータには顧客の氏名やメールアドレスが含まれるが、同社は医療記録への影響は否定している。現時点で被害を受けた人数は不明だが、カリフォルニア州司法長官への報告義務が生じる規模と見られる。
背景情報
* 被害の経緯: Hims & Hersが利用するサードパーティ製の顧客サポート用チケットシステムが標的となった。
* 攻撃手法: 従業員を欺いてシステムへのアクセス権を奪う「ソーシャルエンジニアリング」が用いられた。
* 業界の傾向: 近年、Discordなどの事例に見られるように、顧客対応システムは機密情報が含まれるため、金銭目的のハッカーにとって格好の標的となっている。
今後の影響
企業側の対応と信頼回復
* セキュリティ強化: 外部システムを含めたアクセス権限の管理体制の見直しと、従業員へのセキュリティ教育の徹底が急務となる。
* 法規制への対応: カリフォルニア州法に基づく開示義務を履行し、被害者への通知や補償、再発防止策の策定が求められる。
テレヘルス業界への警鐘
* システム管理の脆弱性: 医療関連企業は、自社サーバーだけでなく、連携するサードパーティ製ツールのセキュリティ対策が顧客のプライバシー保護に直結することを再認識する必要がある。
* データ保護の重要性: 医療記録そのものでなくとも、サポート履歴には個人の健康状態やアカウント情報が含まれるため、より厳格なデータ管理体制が業界全体で求められる。