遺伝子シーケンシング大手のイルミナは、米国政府に提供した製品にサイバーセキュリティ上の脆弱性があったとの非難を受け、980万ドルを支払うことで和解に合意したと、司法省が先週発表しました。
イルミナは、2016年から2023年の間に、連邦機関に対して脆弱性のあるゲノムシーケンシングシステムを販売したと非難されています。
同社はまた、適切なセキュリティプログラムや、こうした脆弱性を特定・対処する手段を欠いていたともされています。
政府は、イルミナが製品のライフサイクルにサイバーセキュリティを組み込まず、製品セキュリティに十分なリソースを割り当てず、脆弱性を生じさせる設計上の特徴にパッチを適用せず、ソフトウェアがサイバーセキュリティ基準に準拠していると虚偽の主張をしたと述べています。
サイバーセキュリティ機関であるCISAは、2022年にイルミナ製品、特にLocal Run Managerにおける脆弱性について組織に通知する勧告を発表しました。同機関は当時、これらの欠陥がリモートの認証されていない攻撃者によって製品を乗っ取られる恐れがあると警告していました。
2023年には、CISAとFDAの両方が、イルミナの複数の遺伝子シーケンシング機器で使用されているUniversal Copy Service(UCS)コンポーネントの脆弱性について通知を発表し、これらのセキュリティホールによってリモートハッキングが可能になる恐れがあると警告しました。
980万ドルの和解金は、イルミナの元従業員によって偽請求防止法の内部告発者条項の下で提起された訴訟を解決するものであり、同従業員はそのうち190万ドルを受け取ることになります。
SecurityWeekは同社にコメントを求めており、回答があれば本記事を更新します。
広告。スクロールして続きをお読みください。