スタートアップ「Ultrahuman」は、2026年3月27日に発生した健康データ漏洩を明らかにしました。ハッカーは従業員の認証情報を悪用して、社内データベースにアクセスしました。
感染したラップトップが侵入経路に
攻撃者は、古典的でありながら効果的な手法でUltrahumanのシステムに侵入することに成功しました。インドのスタートアップの従業員が、ログイン認証情報を盗むように設計されたマルウェアに感染したラップトップを使用していたのです。これらの情報により、侵入者は社内分析ツールにアクセスし、プラットフォームユーザーの一部に属するウェルネス情報を漏洩しました。この事件は、同社がユーザーに公に通知する2ヶ月以上前の2026年3月27日に発生しました。
同社は、事件を迅速に検出し、影響を受けたシステムを直ちにオフラインにし、すべてのアクセスを無効にしたと述べています。「当社のセキュリティアラートシステムは数時間以内にインシデントを検出し、脆弱性を迅速に閉鎖しました」と、TechCrunchに提供された声明でUltrahumanの創設者兼CEOであるMohit Kumar氏は述べています。(Our security alerting systems detected the incident within hours, and we closed the vulnerability swiftly.)
ハッカーが閲覧できたもの
Ultrahumanがウェブサイトで公開した公式ページによると、攻撃者は侵害されたシステムへの「読み取り専用」アクセス権を取得しました。具体的には、アカウント情報、連絡先情報、取引履歴などの情報が漏洩した可能性があります。一方、パスワード、クレジットカード情報、支払い情報は影響を受けず、Ultrahuman Ringのプロダクションシステムやデバイス自体も影響を受けませんでした。
「2026年3月27日、セキュリティインシデントが発生しましたが、まず最も重要な事実です。パスワード、カード情報、支払いデータは一切関与しておらず、悪用された証拠も見つかっていません」と、Kumar氏は影響を受けたユーザーに送信されたメールで述べています。(On 27 March 2026, we had a security incident, but the most important facts first: no passwords, card details, or payment data were involved, and we have found no evidence of misuse.)
CEOは、この情報漏洩を、路上で紛失した注文レシートに例え、連絡先情報が閲覧可能だったものの、金融的に機密性の高い情報は含まれていなかったと説明しました。同社は、この事件を受けて、社内管理ポリシーと従業員デバイスのエンドポイントセキュリティを強化したと述べています。
インシデントの規模と不明瞭な点
Ultrahumanが発表した数字によると、影響を受けたのはユーザーの約0.1%です。同社は2026年3月時点で月間アクティブユーザー数を約70万人としており、影響を受けた人数は少なくとも700人にのぼります。同社はこの計算を否定していませんが、正確な数字の公表は拒否しました。
依然として不明瞭な点が多く残っています。Ultrahumanは、生体認証データが実際に外部に流出したのか、それとも閲覧されただけなのか、また攻撃者が同社に連絡を取ったのかどうかを明らかにしていません。さらに、この文脈における「ウェルネスデータ」が具体的に何を指すのかを明確にしていないため、影響を受けたユーザーにとってのリスクを正確に評価することを困難にしています。同社は、インシデントの正確な範囲を監査し、影響を受けたデータを特定する間、ユーザーへの通知を遅らせたと認めています。関連する規制当局には、このプロセスの一環として通知されました。
ユーザーに送信された警告メールでは、このようなインシデントの後によく行われる注意喚起として、フィッシング詐欺の試みに注意するよう促しています。漏洩した連絡先情報は、標的型フィッシングキャンペーンに使用される可能性があります。
業界全体の構造的な問題
このインシデントは、Ultrahuman固有の問題にとどまらず、健康ウェラブル機器市場に内在する脆弱性を示しています。OuraからSamsung、Fitbitに至るまで、スマートリングやスマートウォッチのメーカーは、定義上、睡眠データ、心拍数、心拍変動、皮膚温度、月経周期追跡など、非常に個人的な生体認証データをサーバーに集約しています。この集約は、従業員、政府、または悪意のあるグループからの不正アクセスが、技術的には常に可能であることを意味します。
2019年にベンガルールで設立されたUltrahumanは、Oura Ringの直接の競合製品であるRing Air、そして最近では改良されたセンサーとより長いバッテリー寿命を備えたRing Proにより、この競争の激しい市場で徐々に地位を確立してきました。同社はこれまでにNexus Venture Partners、Steadview Capital、Blume Venturesなどの投資家の支援を受けて約1億300万ドルの資金を調達しています。同社はプライバシー保護に重点を置いたアプローチを掲げていますが、このインシデントによりその姿勢が試されています。なお、UltrahumanとOuraの2社は、2024年に米国国際貿易委員会で特許侵害訴訟で対立しており、その訴訟ではインドのスタートアップのいくつかの疑わしい商慣行が明らかになっています。
コネクテッドヘルスプラットフォームに対するユーザーの信頼は、これらの企業が最もプライベートなデータの一部を保護する能力にかかっています。このインシデントは、企業のセキュリティアーキテクチャでは周辺的なものと見なされがちな社内分析ツールでさえ、大規模な個人情報漏洩を可能にする侵入経路となり得ることを思い出させます。影響を受けたUltrahumanのユーザーは、今後数週間のうちに詐欺的な接触の試みに注意を払い、会社が公開した公式情報ページで自身のデータに関する詳細を確認することが重要です。