GLP-1系肥満治療薬「オゼンピック」および「ウゴービ」を手がけるデンマークの製薬大手ノボ ノルディスクが、サイバー攻撃を受けたことが明らかになりました。臨床試験に参加した医療提供者および患者のデータが外部に流出しています。同社が2026年6月11日に公表した侵害通知によると、攻撃者は同社の限られた数の内部システムへのアクセスに成功し、そのシステムに保存されていた一部の個人データを窃取したとされています。侵害が検知された時期や攻撃者がシステムにアクセスしていた期間については現時点で不明であり、攻撃の背後にいる脅威グループも、いまだ関与を公表していません。
流出したデータは、臨床試験に参加した一部の患者に関するものです。ただし、窃取されたデータは匿名化処理が施されていたため、患者への実質的なリスクは限定的とされています。患者の氏名は含まれておらず、流出したのは臨床試験における患者識別に用いられるIDナンバーのみです。このIDはランダムな英数字の文字列で構成されています。そのほかに漏えいした情報は、性別、生年、バイオマーカー、健康・免疫原性データ、および生活習慣関連の情報(BMI、喫煙の有無、飲酒状況など)に限られています。
ノボ ノルディスクは、流出データが仮名化処理済みであるため、別途の情報源との照合なしには個人を特定できないと説明しており、患者が直ちに重大なリスクにさらされる可能性は低いとしています。同社は患者に対し、引き続き警戒を怠らず、本インシデントに関連する可能性のある不審な動きを発見した場合はノボ ノルディスクに連絡するよう呼びかけています。
攻撃が検知された際、調査が行われる間の予防措置として一部のシステムが一時的にオフラインとされており、同社は現在、安全かつセキュアな形でのシステム復旧に取り組んでいます。今回のサイバー攻撃はコアビジネスの業務運営には影響を与えておらず、通常どおり稼働が続いているとしています。フォレンジック調査およびデータ精査は現在も進行中であり、影響を受けた個人の総数についてはまだ確定していません。
今回のインシデントでは一部の医療提供者も影響を受けており、現在、順次通知が行われています。窃取された情報は提供者ごとに異なり、企業名、登録番号、連絡先メールアドレス、電話番号、オフィスの所在地、WhatsAppの連絡先情報などが含まれる場合があります。連絡先情報が流出していることから、医療提供者はフィッシングやソーシャルエンジニアリング攻撃のリスクにさらされる可能性があり、引き続き警戒が求められます。
翻訳元: https://www.hipaajournal.com/novo-nordisk-cyberattack/
