デンマークの製薬大手ノボ ノルディスクは、限定的な非公開情報への不正アクセスを伴うサイバー攻撃を公式に確認しました。流出した情報には、臨床試験から得られた機密性の高い患者の健康データや、価値の高い独自AIアセットが含まれている可能性があります。
同社はGLP-1系医薬品「オゼンピック」と「ウゴービ」で世界的に知られており、2026年6月11日から12日にかけて社内ITシステムへの不正アクセスを確認し、今回の侵害を検知しました。
ノボ ノルディスクは直ちに外部サイバーセキュリティ専門家と連携して調査を開始し、その後、関係当局および法執行機関への通知を完了しています。
医薬品の製造やサプライチェーンを含む中核的な製薬事業については、引き続き完全に稼働しており、影響は生じていません。
ノボ ノルディスクの公式開示によると、今回の事案でコピーされたデータは、特定の臨床試験に参加した患者に関するもので、仮名化された患者ID、性別、生年、バイオマーカー、健康・免疫原性データ、BMI・喫煙習慣などのライフスタイル要因が含まれています。
同社は、氏名や直接的な個人識別情報は一切含まれていないと明確に説明しています。個人の再識別には、今回侵害されていない別の基礎情報へのアクセスが必要となるためです。
ノボ ノルディスクは、記録が仮名化されていることから患者への直接的なリスクは低いと評価しています。ただし、不審な動きがあれば報告するよう患者に引き続き注意を促しています。
患者データの流出に加え、攻撃者はノボ ノルディスクの社内研究インフラから窃取したとされるAI・機械学習資産の詳細な内訳を公開しました。
流出した資料には、テキスト・画像・トランスクリプトミクスデータを処理できる16.7GBのマルチモーダルモデルチェックポイントや、約407MBに及ぶ独自の生物学的・化学的トレーニングデータセットが含まれているとされています。
約50MBの完全なソースコード(「NovoPert」と呼ばれる社内ツールのモデルクラスおよびトレーニングパイプラインのロジックを含む)と、113回のトレーニング実行の完全ログが、真正性の証拠として提示されています。
攻撃者はさらに、社内HPCインフラのマップ、Slurmスケジューリング設定、SSH設定、合計約53GBの内部コンテナイメージ、開発者の身元情報、プライベートGitHubリポジトリのURLにもアクセスしたと主張しています。
ノボ ノルディスクは、これらのAI資産に関する主張の真偽について確認も否定もしていません。同社は幅広いテクノロジー戦略を推進しており、AIアセットの窃取はとりわけ重大な意味を持ちます。
同社はデンマーク初のAIスーパーコンピューターの構築に多額の投資を行っており、創薬・分子設計・臨床試験の最適化にわたって人工知能を積極的に活用しています。
攻撃者は現在、ノボ ノルディスクへの恐喝を試みているとされており、同社が支払いを拒否した場合、窃取したデータが競合他社に売却される可能性があると伝えられています。
今回の事案は、臨床データの窃取とAI研究パイプラインを標的とした知的財産の大規模な窃取を組み合わせた、危険度の高い二重脅威型攻撃パターンの広がりを示しています。製薬・バイオテクノロジー企業は、2026年における高度な脅威アクターの最重要標的の一つとなっています。
翻訳元: https://cyberpress.org/novo-nordisk-confirms-cyberattack/