製薬大手ノボ ノルディスク、臨床試験データの侵害を公表

世界最大のインスリンメーカーであるデンマークの製薬大手ノボ ノルディスクは、一部の臨床試験に参加した患者情報に関するデータ侵害を公表しました。

1923年に創業した同社は現在、世界80拠点に約67,900人の従業員を抱え、注目を集めるGLP-1受容体作動薬「ウゴービ（Wegovy）」および「オゼンピック（Ozempic）」のメーカーとして知られています。

同社は木曜日に公表し、攻撃者が社内ITシステムおよび一部の臨床試験参加患者に関するデータへのアクセスに成功したことを明らかにしました。流出したデータには、患者ID（ランダムな英数字文字列）、試験参加情報、性別、生年、バイオマーカー、健康・免疫原性データ、およびライフスタイル情報（喫煙・飲酒・BMIなど）が含まれています。

ただし、ノボ ノルディスクは当該データが仮名化処理されており、攻撃者がこれを用いて影響を受けた患者を実名で特定することはできないと説明しています。

「現在も調査と対応を継続していますが、個人情報を含む一部の非公開データが権限なく外部にコピーされたことが判明しました。影響を受けた関係者には適切な形で通知を行っています」と同社は述べています。

「この情報は、患者の氏名やその他の直接識別子とは紐付けられていません。個人を特定するには、患者氏名などを含む基盤情報へのアクセスが別途必要となりますが、そうした情報は今回の侵害では露出していません。したがって、今回の事案により第三者が臨床試験参加者を特定できるとは考えておりません」

また、今回のデータ侵害では非公開数の医療従事者（HCP）も影響を受けており、氏名、登録番号、メールアドレス、電話番号、WhatsApp情報、および勤務先情報が流出しています。

ノボ ノルディスクは影響を受けた医療従事者に対して注意を呼びかけ、メール・電話・WhatsApp・同僚を装った偽メッセージなどを通じたフィッシング攻撃の標的にされる可能性があるとして、不審なメッセージや着信には十分警戒するよう促しています。

同社は侵害されたITシステムをオフラインに切り離しましたが、コア事業への影響はなかったと説明しています。現在は外部のサイバーセキュリティ専門家と協力して調査を進め、侵害の全容と規模の把握に取り組んでいます。

「影響を受けたシステムを安全かつ制御された方法で復旧させるべく作業を進めていますが、このプロセスには時間を要することを認識しています。コアビジネスへの影響はなく、通常どおり稼働しています」とノボ ノルディスクは付け加えました。

侵害が検知された時期や、個人情報・患者データが流出した人数については、現時点で開示されていません。

BleepingComputerが攻撃の詳細についてコメントを求めたところ、ノボ ノルディスクの広報担当者からは即座の回答は得られませんでした。