医療機器製造大手のMedtronicは、ハッカーが自社ネットワークに侵入しデータを流出させたことを確認しました。同社は2026年4月24日(金)にサイバー攻撃を発表し、攻撃は迅速に封じ込められ、インシデント対応プロトコルが発動されたと述べました。
Medtronicはペースメーカー、除細動器、人工心弁、冠動脈ステント、インスリンポンプ、連続血糖測定システム、神経外科製品、画像診断システム、手術用ロボット、人工呼吸器、消化器製品など、幅広い医療製品を製造しています。同社は医療機器企業の中で売上ベースで世界最大であり、2025年度の売上は335億ドルでした。同社は150カ国以上で事業を展開し、世界中で約95,000人を雇用し、年間約7,900万人の患者にサービスを提供しています。
ハッカーはネットワークの限定的な部分へのアクセスのみを獲得しました。Medtronicは、企業IT システム、製品、製造、流通業務を支援するネットワークが分離されていることを確認しました。さらに、病院顧客のネットワークはMedtronic ITネットワークから分離されており、顧客のITチームによって保護・管理されています。大手サイバーセキュリティ企業がインシデント調査と調査・是正支援に従事しています。現在のところ、製品、患者安全、顧客接続、製造・流通業務、または財務報告システムへの影響は確認されておらず、同社は患者ニーズへの対応を継続しています。
現在、個人情報や保護される健康情報がインシデント中にアクセスまたは盗まれたかどうかは不明です。このような情報がアクセスされたまたは盗まれた場合、影響を受けた個人が特定され、通知が発行され、サポートサービスが提供されます。Medtronicはインシデントの軽減と同時に、将来の同様のインシデントを防ぐためにシステムセキュリティを最適化する追加の方法を特定するために取り組んでいると述べました。
Medtronicは上場企業であるため、株主に影響を与える可能性のある重要事象についてアメリカ証券取引委員会(SEC)に通知する必要があります。SECへのForm 8-K提出書において、Medtronicはこのインシデントは事業または財務結果に重大な影響を与えることは予想されていないと述べています。2026年4月18日の発表およびSEC提出に先立ち、ShinyHuntersデータ窃盗・恐喝グループが攻撃の責任を主張しました。同グループは個人識別情報を含むMedtronicデータのテラバイト単位の流出を主張しました。
ShinyHuntersはPIIを含む900万以上のレコードを盗んだと主張していますが、この主張はMedtronicによって検証されていません。ShinyHuntersは2026年4月21日までに身代金が支払われない場合、盗まれたデータを公開すると述べました。要求された金額は公開されていません。Medtronicはshinyhutersのデータリークサイトから削除されており、身代金が支払われたことを示唆していますが、Medtronicはそうであるかどうかを確認していません。
「このインシデントは、攻撃者が企業IT環境をエントリーポイントとして優先する反復的なパターンを強調しています。攻撃者は、多くの場合、高価値データが含まれていることを知っていますが、本番環境や患者向けシステムほど厳密にはセグメント化されていません。Medtronicが製品や患者安全への影響がないと述べていても、多くのレコードの盗難(確認された場合)は、特に個人情報盗難、標的型フィッシング、サプライチェーンの悪用について重大なリスクを依然として表しています。ヘルスケアでは、『運用への影響がない』は『リスクがない』を意味しません。機密データの露出は長期的な下流の影響をもたらす可能性があります。」とSOCRadarのCISO、Ensar Sekerが述べました。「防御者の観点からは、これは企業IT システムを臨床環境または運用環境と同じレベルの精査で扱う必要性を強化しています。強力なアイデンティティ制御、厳密なネットワークセグメンテーション、データ流出パスの継続的な監視が重要です。さらに、組織はShinyHuntersのようなグループが部分的または低感度データセットでさえマネタイズしようとすると仮定すべきであるため、評判と規制の悪影響を減らすには、迅速な検証、透明なコミュニケーション、および積極的な脅威インテリジェンスの関与が重要です。」
Medtronicは今年データ侵害を経験した唯一の医療機器メーカーではありません。2026年1月、マサチューセッツに本拠を置く創傷ケア、インプラント、整形外科および手術製品のデバイスとコンポーネントの製造業者であるUFP Technologiesは、サイバー攻撃とデータ侵害についてSECに通知しました。2026年3月、カリフォルニアの埋め込み型整形外科デバイスメーカーであるTriMedがサイバー攻撃とデータ侵害を発表し、メドテック企業のStrykerはワイパー攻撃を経験しました。
翻訳元: https://www.hipaajournal.com/medical-device-maker-medtronic-data-breach/
