アボット・ラボラトリーズ、恐喝主張の中で2件のサイバー侵害を調査

アボット・ラボラトリーズは現在、2件の別個のサイバーセキュリティインシデントを調査しています。同社はまず、がん診断事業部門においてExact Sciencesの旧システム(レガシーシステム)への不正アクセスがあったことを確認しました。さらにこれとは別に、攻撃者が同社のLabCentralポータルに侵入して企業データを窃取したとする主張についても調査を進めています。

アボットは、恐喝グループ「ShinyHunters」が同社をデータ漏洩サイトに追加したことを受けて、がん診断事業に関するインシデントの発生を認めました。同グループは当初、7月18日以降に窃取したとされるデータを公開すると脅迫していましたが、その後期限を7月21日まで延長しています。

Image

BleepingComputerがアボットに対し、ShinyHuntersによる掲載と、別途主張されているLabCentralの侵害との関連性について問い合わせたところ、アボットは両インシデントに関連はないと回答し、がん診断事業のインシデントに関する自社ウェブサイト上の声明を参照するよう案内しました。

「アボットは、がん診断事業部門のみにおいて、社内システムの一部への不正アクセスが発生したサイバーインシデントを調査しています」と同社は述べています。 

「これによる事業運営、製品や製品供給、製造・検査施設の運営、あるいは患者様へのサービス提供能力への影響はありません」

アボットはさらに、今回のセキュリティインシデントがアボットの他の事業やシステムに影響を及ぼした事実はないとし、Exact Sciencesの旧システムはアボットのシステムとは別個のものであると説明しています。

同社によれば、インシデントを把握した後、直ちにインシデント対応手順を発動し、サイバーセキュリティの専門家と連携するとともに、法執行機関にも通報したとしています。

また、今回のインシデントが事業や財務結果に重大な影響を及ぼすとは見込んでいないとも述べています。

ShinyHuntersはBleepingComputerに対し、6月中旬にアボットの複数の従業員を標的としたビッシング(音声フィッシング)攻撃によってアクセスを獲得したと主張しています。この脅威アクターによれば、この攻撃によりMicrosoft Entraのシングルサインオン(SSO)アカウントを侵害し、社内システムへのアクセスを得たとしています。

この恐喝グループは昨年以降、従業員のMicrosoft Entra、Okta、Google各SSOアカウントを標的としたソーシャルエンジニアリングキャンペーン を展開してきました。

企業のSSOアカウントへのアクセスを獲得した後、脅威アクターはSalesforce、Microsoft 365、Google Workspace、SAP、Slack、Adobe、Atlassian、Zendesk、Dropboxなど、連携するSaaSアプリケーションからデータを窃取します。

この恐喝グループは、メドトロニック、OneMedical、AdaptHealthなど、医療技術企業への攻撃を強めています。BleepingComputerが把握したところによると、ShinyHuntersはiRhythmのデータ漏洩の背後にも関与しており、ストライカー(Stryker)が破壊的なイラン発のデータ消去攻撃から復旧した直後にも同社を標的にしていました。

窃取されたとされるデータの内容について尋ねたところ、ShinyHuntersはMicrosoft Entra、ServiceNow、SharePoint、Databricks、Coupaからデータを窃取したと主張し、その中には社内文書、契約書、顧客情報が含まれるとしています。

この脅威アクターはさらに、氏名、メールアドレス、電話番号、住所、生年月日、そして100万件を超える社会保障番号(SSN)を含む複数のデータセットから、3,000万件を超える顧客の個人識別情報(PII)を窃取したと主張しています。

同グループはまた、医師と患者の会話内容を含む2,200万件を超える顧客ノート、2,000万件を超える医療オーダー、さらに顧客契約書や秘密保持契約(NDA)も窃取したと主張しています。

BleepingComputerは、窃取されたデータに関する脅威アクターの主張について独自の検証は行っていません。

LabCentral顧客ポータルでの侵害疑惑

2件目のインシデントは、「ShadowByt3$」と名乗る脅威アクターに関するものです。この人物はBleepingComputerに接触し、アボットのコアラボラトリー診断事業部門をLabCentral顧客ポータル経由で侵害したと主張しています。

この脅威アクターによれば、環境内に「弱点」と表現する箇所を特定した上で、侵害された顧客の認証情報を使ってLabCentral顧客ポータル経由で同事業部門に侵入したとしています。

この脅威アクターの主張では、2026年7月4日にアクセスを獲得し、その後APIエンドポイントを標的にして時間をかけて徐々にファイルを窃取したとしています。 

ShadowByt3$は、窃取したデータにはCE製造証明書、操作マニュアル、技術仕様書、規制関連文書、製品要件アーカイブ、キャリブレーター値の割り当て、アッセイファイル、その他アボットの検査診断システムに関連する製品文書が含まれると主張しています。

同グループは顧客データの窃取はなかったとする一方、機密性の高い業務文書や知的財産を入手したと主張しています。また、侵入の証拠として、スクリーンショットとファイル一覧をBleepingComputerに提供しています。 

アボットはBleepingComputerに対し、この「潜在的な」サイバーインシデントを認識していることを確認した一方で、窃取したとされるデータの性質に関する脅威アクターの主張には異議を唱え、この環境に保存されているデータはすべて公開情報であり、機密性の高いものではないとしています。

「LabCentralは、アボットのコアラボラトリー診断事業部門が利用する、外部向けのサードパーティホスト型ポータルです」とアボットの広報担当者はBleepingComputerに説明しています。

「同ポータルには、操作マニュアル、トラブルシューティングチェックリスト、製品仕様書など、一般公開されている技術系の製品参考資料が格納されており、機密性の高い顧客情報や業務情報は含まれていません」

現時点で、ShinyHuntersとShadowByt3$のいずれも、アボットから窃取したと主張するデータを公開してはいません。

攻撃者に先んじて、すべてのレイヤーをテストする

セキュリティチームが記録できている攻撃成功件数はわずか54%で、アラートが発せられるのはそのうち14%に過ぎません。残りは環境内を検知されないまま通過しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMやEDRのルールをどのようにテストし、検知をすり抜ける脅威を防ぐかを解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/abbott-laboratories-probes-two-cyber-incidents-amid-extortion-claims/

ソース: bleepingcomputer.com