米国は、同社がソフトウェアの脆弱性を持つ遺伝子シーケンスシステムを連邦機関に故意に販売していたと主張した。
米司法省は木曜日、イルミナと980万ドルの和解に合意したと発表した。同社が複数年にわたり、ソフトウェアの脆弱性を持つゲノムシーケンスシステムを連邦機関に販売していたという疑いによるものだ。
2016年から2023年の間、政府は述べた、同社は十分なセキュリティプログラムを持たずにシステムを販売し、製品設計プロセスにサイバーセキュリティを組み込むことを故意に怠っていた。
検察官の訴状によると、イルミナは世界市場で約80%のシェアを持つ支配的な企業である。
「連邦政府に製品を販売する企業は、サイバーセキュリティ基準を遵守し、サイバーセキュリティリスクから守ることを怠った場合、責任を問われることになる」と、司法省民事局のブレット・シュメイト次官補は声明で述べた。
「この和解は、遺伝情報の取り扱いにおけるサイバーセキュリティの重要性と、連邦政府の契約業者が機密情報をサイバー脅威から守るための要件を遵守するよう確保するという当局の取り組みを強調するものだ」と彼は付け加えた。
イルミナは、欠陥のある製品を故意に販売したという主張を否定しており、合意書には同社がこれらの主張に関していかなる認めも行っていないことが記載されている。
2023年、米食品医薬品局(FDA)はイルミナのソフトウェアにおける脆弱性について警告を発した。この脆弱性により、攻撃者がデバイスの設定を変更したり、遠隔で乗っ取ったりする可能性があった。
2022年には、サイバーセキュリティ・インフラストラクチャー安全局が警告を発し、イルミナのLocal Run Managerソフトウェアの脆弱性について言及した。この脆弱性により、攻撃者が遠隔で検査結果を改ざんできる可能性があった。同社は後にこの脆弱性に対処した。
この件には内部告発者が関与していた。イルミナの元プラットフォーム管理ディレクターであるエリカ・レノア氏が、同社の不遵守に関する詳細を政府に提供した。レノア氏は和解金から190万ドルを受け取る。
司法省はまた、防衛請負業者Aero Turbine Inc.およびプライベートエクイティ会社Galant Capital Partnersと、空軍契約に関連するサイバーセキュリティ基準を満たさなかったという主張で175万ドルの和解にも合意した。
司法省は、彼らが自主的に協力したことを評価したと述べている。
イルミナの広報担当者には、すぐにコメントを求めることができなかった。
翻訳元: https://www.cybersecuritydive.com/news/cyber-fraud-settlement-genomic-testing-company/756559/