TridentLockerランサムウェアによりWTC健康プログラムのデータ侵害が発覚

一部のデータ侵害はクレジットカード番号を流出させます。メールアドレスが流出するケースもあります。今回流出したのは、ワールドトレードセンターヘルスプログラム（WTCヘルスプログラム）に登録している方々の医療記録、社会保障番号、健康プログラム申請書などです。このプログラムは、9.11同時多発テロの現場で救助活動にあたった方々や、有害な粉塵にさらされた生存者、被災地で生活・就労していた人々のために設立された連邦プログラムです。

主なポイント

1. ランサムウェア攻撃により、WTCヘルスプログラムの極めて機微なデータが流出。2025年12月4日、Managed Care Advisors/Sedgwick Government Solutions（MCA/SGS、米国政府機関向けの労災・マネージドケアを管理する連邦請負業者）は、企業のSecure File Transfer Protocol（SFTP）サーバーが侵害されたことを発見しました。侵入は2025年11月16日に遡り、不正な第三者がサーバーにアクセスし、ファイルを暗号化していました。侵害されたサーバーには、WTCヘルスプログラムの前任の全米プロバイダーネットワーク請負業者のファイルが保存されていました。このプログラムは、9.11の救助者や生存者に無償で医療モニタリングと治療を提供する連邦資金による取り組みです。
2. 流出したデータは広範かつ特有の深刻さ。今回流出したのはメールアドレスやパスワードではありません。流出情報には氏名、住所、社会保障番号、生年月日、医療記録画像、保護対象医療情報を含むWTCヘルスプログラム申請書が含まれています。WTCヘルスプログラムに登録している方々の多くは、救助隊員や復旧作業員、すでに9.11由来の慢性的な健康被害に苦しむ生存者です。今回流出したデータは、彼らの医療履歴や個人情報の最もプライベートな部分です。
3. TridentLockerが犯行声明、ダークウェブ上にデータ公開。ランサムウェアグループTridentLockerは、2025年12月30日に約3.39GBの組織データをTor上のダークウェブサイトに掲載しました。TridentLockerは2025年11月下旬に登場したランサムウェア・アズ・ア・サービス（RaaS）型のグループで、システムを暗号化し、身代金要求が満たされなければ盗んだデータを公開する「二重脅迫」戦術を用います。登場以来、北米と欧州の製造業、政府、IT、プロフェッショナルサービスなど12件の被害を公表しています。
4. 公式な情報公開は侵害から数カ月後。MCA/SGSは2026年2月10日、ニューハンプシャー州司法長官に侵害を報告しました。これは2025年11月16日の不正アクセスからほぼ3カ月後です。影響を受けた個人への通知は2026年2月11日から開始されました。当初の報告ではニューハンプシャー州在住の約3名が対象とされていますが、WTCヘルスプログラムの全米プロバイダーネットワークのデータであることから、実際の影響範囲は1州を大きく超えると見られます。
5. SFTPインフラは依然として高価値かつ防御が不十分な標的。今回の侵害はSFTPサーバーを標的としたものです。SFTPサーバーは設計上、複数の上流プロバイダーやプログラムから機密データを集約します。医療や政府分野で使われるSFTPサーバーには、PHIやPIIが大量に保存されることが多く、ランサムウェア攻撃者にとって格好の標的となります。本件は、特に機微な参加者データを扱う専門的な医療プログラムを支えるファイル転送システムの取り扱いにおける、継続的な脆弱性を浮き彫りにしています。

この背景は重要です。リスクの計算式そのものが変わります。

WTCヘルスプログラムは、CDC（米国疾病対策センター）傘下の国立労働安全衛生研究所（NIOSH）が運営し、9.11関連の健康被害に対して無償で医療モニタリングと治療を提供しています。参加者には消防士、警察官、救急隊員、復旧・清掃作業員、崩壊したワールドトレードセンターから放出された有害物質にさらされた住民などが含まれます。多くの方ががんや呼吸器疾患、消化器障害、精神的健康問題を発症しています。彼らの医療記録は単なる診療記録ではなく、職業性曝露や慢性疾患の進行、米国史上屈指の重大事件に起因する治療経過の詳細な記録です。

こうした記録がダークウェブに流出すれば、その被害は決して抽象的なものではありません。

発生した事象：タイムライン

出来事の流れは単純明快であり、それ自体が問題の一因です。

2025年11月16日、Managed Care Advisors/Sedgwick Government Solutionsが運用する企業SFTPサーバーに第三者が不正アクセスし、WTCヘルスプログラムの全米プロバイダーネットワーク関連ファイルが保存されていました。攻撃者はサーバー上のファイルを暗号化しました。これはランサムウェア攻撃の典型的な手口です。

MCA/SGSは2025年12月4日に侵害を発見。影響を受けたサーバーは隔離され、すべての接続が遮断され、翌12月5日に安全なバックアップから復旧されました。同社は著名なインシデント対応会社Mandiantにフォレンジック調査を依頼し、FBIにも通報しました。

2025年12月30日、TridentLockerが組織のデータ約3.39GBをTor上のダークウェブ流出サイトに掲載。グループは攻撃の犯行声明を出し、標準的な二重脅迫の手法（システム暗号化、データ窃取、身代金未払い時の公開脅迫）を用いていました。

Sedgwickは2026年1月初旬に本件を公表し、政府向け事業子会社はSedgwick全体の事業と分離されており、クレーム管理サーバーへのアクセスはなかったと強調しました。ニューハンプシャー州司法長官への正式な侵害通知は2月10日、個人通知は2月11日から開始されました。

影響を受けた方にはKrollによる12カ月間のクレジットモニタリングとID盗難防止サービスが提供され、専用のコールセンターも設置されています。

なぜSFTPサーバーは繰り返し狙われるのか

Managed Care Advisorsの侵害に既視感があるのは、医療や政府分野で同様のパターンが繰り返されているからです。ファイル転送インフラ（SFTPサーバー、マネージドファイル転送（MFT）プラットフォームなど）は、重大な侵害の発端として何度も登場しています。

理由は単純です。SFTPサーバーは組織間でファイルを受信・保存・送信するために設計されています。医療分野では、これらのファイルにPHIやPIIが最も高密度に集約されていることが多く、請求データ、資格情報、医療画像、プログラム申請書、社会保障番号などが含まれます。1台のSFTPサーバーが複数の上流プロバイダーやプログラム、機関から機密データを一箇所に集約します。

攻撃者にとって、SFTPインフラは「ワンストップショップ」です。1台のサーバーを侵害するだけで、大量の高価値データを獲得でき、企業ネットワーク内を横移動したり多層のエンドポイントセキュリティを突破する必要がありません。

これらのシステムを守るべき防御策はよく知られています。強力な認証（多要素認証）、保存中・転送中の暗号化、アクセス可能なユーザーやシステムを限定する堅牢なアクセス制御、異常なアクセスパターンのリアルタイム監視とアラート、不変の監査ログによるフォレンジック証跡の確保です。

ゼロトラスト原則—すべてのアクセスリクエストの検証、最小権限の徹底、侵害を前提とした設計—は、複数ソースから機密データを集約するファイル転送システムに特に重要です。

それでもSFTPやMFT関連の侵害では、これらのいずれかにギャップがあることが繰り返し明らかになります。認証の弱さ、監視されていないアクセス、保存時の暗号化欠如、異常検知の不備など、基本が見落とされているため、目立つ臨床アプリケーションほどのセキュリティ対策が施されていないシステムで同じパターンが繰り返されています。

医療分野のランサムウェア被害は悪化の一途

MCA/SGSの侵害は孤立した出来事ではありません。医療分野が過去最悪のランサムウェア被害に見舞われている最中に発生しました。

Health-ISACの脅威インテリジェンスレポートによると、2025年第4四半期（10-12月）だけで医療分野のランサムウェアインシデントは190件に達し、年間最多を記録しました。全業種合計のサイバーインシデントは2025年に8,903件となり、2024年比で55％増加。医療分野特有のインシデントも前年比21％増加しています。

数字も深刻ですが、戦術はさらに悪化しています。医療分野を狙ったランサムウェアの推定96％がデータ流出（二重脅迫）を伴い、攻撃者はシステムを暗号化する前にデータを盗みます。バックアップで暗号化被害から復旧できても、盗まれたデータが「身代金を払わなければ患者記録を公開する」という二次的な脅迫材料となります。

TridentLockerとMCA/SGSのケースがまさにこれです。データは暗号化されただけでなく、盗まれてダークウェブに公開されました。バックアップ復旧で業務は再開できても、WTCヘルスプログラム参加者のデータが犯罪組織の手に渡った事実は変わりません。

ランサムウェアのエコシステム自体も細分化し、小規模かつ機動力の高いグループや新たなRaaSプラットフォームが主流となっています。TridentLockerもその一例で、2025年11月下旬に登場し、2026年1月初旬までに12件の被害を公表。ランサムウェア攻撃の参入障壁は下がり続け、PHIの集中とダウンタイムへの脆弱性を持つ医療分野は、依然として最も標的にされやすい業界です。

規制・法的リスクも甚大

PIIとPHIの両方が流出し、しかもHIPAAやJames Zadroga 9/11 Health and Compensation Actの規制下にある連邦医療プログラムが対象となれば、単なるクレジットモニタリング提供にとどまらない規制リスクが発生します。

HIPAAセキュリティ規則を執行するHHS民権局（OCR）は、基本的なセキュリティ要件を怠ったカバードエンティティやビジネスアソシエイトへの取り締まりを強化しています。2025年最初の5カ月間だけで、医療機関との和解が10件発表され、罰金額は数百万ドル規模に上りました。共通するのは「自らのセキュリティ脆弱性を適切に評価していなかった」ことです。

MCA/SGSに対して規制当局が問うのは、侵害されたSFTPサーバーで多要素認証が強制されていたか、保存データが暗号化されていたか、アクセス制御がWTCヘルスプログラムのファイルへのアクセスを制限していたか、リアルタイム監視や異常検知があったか、不変の監査証跡があり「いつ・誰が・何にアクセスしたか」を再現できるか、といった点です。

規制調査を超えて、集団訴訟もすでに動き出しています。弁護士らは、影響を受けた個人がプライバシー侵害や自己負担費用、その他損害について請求できるか調査を開始しています。すでに9.11関連の健康被害を抱える人々にとって、ID盗難や医療詐欺のリスクはまさに「泣きっ面に蜂」と言えるでしょう。

影響を受けた方が今すぐ取るべき行動

Managed Care Advisors/Sedgwick Government Solutionsから侵害通知を受け取った方、またはWTCヘルスプログラムの全米プロバイダーネットワーク経由で情報が流出した可能性がある方は、すぐに以下の具体的な対策を取ってください。

Krollを通じて提供されている12カ月間の無料クレジットモニタリングおよびID復旧サービスに登録してください。これらのサービスは、クレジットファイル上の不審な動きを通知します。

Equifax、Experian、TransUnionの3大信用情報機関から無料の信用情報開示を請求し、見覚えのない口座や照会、不審な取引がないか慎重に確認してください。

詐欺アラートやセキュリティフリーズの設定も検討しましょう。詐欺アラートは新規口座開設時に本人確認を強化するよう金融機関に促します。セキュリティフリーズは、解除するまで新規クレジット口座の開設自体を防止します。

医療給付明細書（EOB）や医療関連の郵便物も注意深く確認し、医療ID詐欺の兆候がないか監視してください。PHIが流出した場合、盗まれた情報が医療サービスや処方薬の不正取得に使われ、医療記録が改ざんされたり、ご自身の治療に支障が出るリスクがあります。

ご不明点があれば、MCA/SGSが設置した専用コールセンターにご相談ください。

機微な医療データを扱う組織が学ぶべき教訓

Managed Care Advisors/Sedgwickの侵害は、専門的な医療プログラム向けファイル転送インフラを管理する組織が直面する特有のリスクを示す事例です。特に重要な3つの優先事項があります。

ファイル転送システムを高価値標的として扱うこと—攻撃者はすでにそうしています。SFTPサーバーやMFTプラットフォームなど、複数ソースから機密データを集約するシステムには、そのリスクプロファイルに見合ったセキュリティ対策が必要です。多要素認証、保存・転送中の暗号化、きめ細かなロールベースアクセス制御、リアルタイム異常検知、不変の監査ログは、PHIやPIIを保存するシステムの最低限の要件です。

ゼロトラスト原則をネットワーク境界だけでなく、すべてのデータ経路に適用すること。ゼロトラストアーキテクチャへの移行は、すべてのアクセスリクエストの検証、最小権限アクセスの徹底（ユーザーやシステムが必要なデータだけにアクセスできるよう制限）、環境内のあらゆるコンポーネントが侵害される可能性を前提とすることを意味します。ファイル転送システムでは、フォルダ・ファイル単位のアクセス制御、IPや地理的制限、一時的なコラボレーター向けの期間限定アクセスの実装が必要です。暗黙の信頼は排除すべきです。

ランサムウェア耐性を事前に構築・検証すること。暗号化・分割されたバックアップは不可欠です。インシデント対応計画には、暗号化前にデータが盗まれる二重脅迫シナリオも想定する必要があります。PHIを扱う場合、誰が・いつ・何にアクセスしたかを正確に再現できるフォレンジック対応力は必須です。対応計画は定期的にテストし、「サーバーがダウンした時」まで放置しないことが重要です。

レガシーSFTPが問題—そしてその代替策

この侵害に潜む不都合な真実は、従来型SFTPインフラが現在の脅威環境に対応できるよう設計されていなかったことです。レガシーSFTPは手動スクリプトや分散したサーバー、後付けのセキュリティツールに依存し、ギャップを埋めるどころか新たな穴を生み出します。各サーバーは独自の設定・アクセス方針・ログ形式（そもそもログがない場合も）を持ち、TridentLockerのようなグループに侵害された場合、何が盗まれたかさえ把握できず、規制当局に「侵害前に対策があった」と証明することも困難です。

これこそがMCA/SGS侵害を招いたアーキテクチャ上の問題です。認識不足ではなく、統合不足が原因です。

Kiteworksはまさにこのリスクを排除するために設計されました。SFTPセキュリティへのアプローチはインフラ層から始まり、分断されたレガシーモデルを、ポリシー・管理・監査ログを全ファイル転送チャネルで一元化する統合プラットフォームに置き換えます。

基盤は、セキュア・バイ・デフォルトのアーキテクチャと最小限の攻撃対象領域を持つ強化された仮想アプライアンスです。組み込みファイアウォールとWebアプリケーションファイアウォールが境界を守り、「侵害前提」の設計思想が持続的標的型攻撃からも防御します。これは理論上の耐性ではありません。Log4Shell脆弱性の際、Kiteworksの分離アーキテクチャはCVSS 10のリスクをCVSS 4まで低減しました。プラットフォームはOWASPベストプラクティス、攻防両面のセキュリティ戦略、第三者ペネトレーションテスト、バグバウンティプログラムで継続的に強化されています。

暗号化も一般的なSFTPソリューションを超えています。Kiteworksは保存データの二重暗号化、転送データのTLS 1.3、顧客所有鍵（BYOK）による暗号鍵の完全管理、連邦要件を満たすFIPS 140-3認証暗号化オプションを提供します。MCA/SGS侵害で流出したWTCヘルスプログラムデータも、顧客管理鍵による二重暗号化が施されていれば、TridentLockerがデータを入手しても利用できなかったはずです。

コンテンツセキュリティ面では、Kiteworksはすべてのファイルを潜在的な脅威とみなすゼロトラストデータ交換を実装。Content Disarm and Reconstruction（CDR）で全ファイルを納品前に再構築し、埋め込まれた脅威を排除します。すべてのファイルはサイズ制限なくスキャンされ、マルチエンジンアンチウイルス、リアルタイム脅威インテリジェンス、行動分析によるゼロデイ検知が行われます。これにより、武器化されたファイルがサーバーに到達する前に検出し、ファイル転送チャネルを使った流出の試みも異常としてフラグします。

データ損失防止（DLP）はSFTP、メール、ファイル共有、API全体で単一のポリシーエンジンにより統合管理されます。Kiteworksはファイル内容・送信者・送信先に基づきリアルタイムで評価し、隔離・暗号化・通知などの自動対応ワークフローを強制します。Microsoft PurviewやForcepointなどエンタープライズDLPとの連携により、既存DLP投資とファイル転送セキュリティの両立も可能です。

監査・コンプライアンス層では、KiteworksがMCA/SGSのような侵害で最も深刻な「事後の説明不能」問題に対応します。全チャネルのアクションが統合監査ログに集約され、SIEM連携でセキュリティ監視を一元化。組み込みポリシー自動化により、レガシーSFTPの手動スクリプト脆弱性を排除。侵入検知システムで継続監視を実現し、FedRAMP High-readyやIRAP認証にも対応し、政府レベルのセキュリティ要件を満たします。

最大の差別化要素は「統合」です。レガシーSFTPは機密データを複数サーバーに分散し、それぞれ異なるセキュリティ体制・ギャップ・死角を抱えます。Kiteworksはこれを、単一テナントのプライベートデータネットワークアーキテクチャ、中央集権的な最小権限アクセス制御、LDAP・SSO認証連携、全ファイル転送を統括するポリシーエンジンで一元化します。サーバー数もギャップも死角も減り、TridentLockerの隠れ場所も減ります。

MCA/SGSの侵害はまた、医療分野が痛感してきたより大きな教訓も再確認させます。PHIを扱うビジネスアソシエイトや下請け業者は、カバードエンティティのセキュリティ体制の延長線上にあります。WTCヘルスプログラム参加者はMCA/SGSを自ら選んだわけではなく、連邦医療プログラムに登録しただけです。情報保護の義務は請負業者・下請け・システムのすべてに及び、そのインフラがデータを保存・転送する場こそが、義務が守られるか破られるかの分岐点となります。