Novo Nordisk、サイバー攻撃により患者データが漏洩
製薬大手Novo Nordiskがサイバー攻撃の標的となり、一部の患者データが「無許可で外部にコピーされた」ことを明らかにしました。
漏洩データの詳細とリスク評価
同社の予備調査によると、この侵害は「限られた数の内部ITシステム」に関わり、同社の臨床試験に参加している患者に関する情報が含まれていました。具体的には、患者識別番号、性別、生年、およびライフスタイル習慣、バイオマーカー、病気などの健康関連データが漏洩しました。
Novo Nordiskは、これらのデータが仮名化されており、個人を特定するには追加情報へのアクセスが必要であると強調しています。このため、同社は「インシデントが患者に差し迫ったリスクをもたらすとは考えていない」と述べています。しかし、患者に対しては「警戒を怠らず、インシデントに関連すると思われる異常を発見した場合は報告するよう推奨」しています。
調査状況と会社の対応
調査はまだ初期段階であり、攻撃の動機は現時点では不明です。過去のライフサイエンス組織への攻撃では、知的財産、企業秘密、従業員・パートナー情報、患者データの販売、恐喝目的のシステムロックアウト、または地政学的緊張が動機となることが一般的です。現時点では、Novo Nordiskのデータがダークウェブで言及されたり、特定のランサムウェアが特定されたりした報告はありません。
Novo Nordiskは、インシデント発生後、サイバーセキュリティ専門家の協力を得て調査を開始し、状況に対処するための措置を講じています。これには、環境を保護するために一部の内部ITシステムを一時的にオフラインにすることも含まれます。同社は、影響を受けたシステムを管理された安全な方法で復旧させるよう努めていますが、このプロセスには時間がかかると認識しています。
元記事:Patient information exposed in breach, says Novo Nordisk