Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

シオノギ製薬へのサイバー攻撃

不正アクセス事件 海外事件 考えてみた。

シオノギ製薬の台湾現地法人が10月初旬にランサム被害を受けた様です。海外ではヘルスケア分野におけるランサム被害が問題視されていますが、日本企業にもその攻撃の足音が近づいてきていると言えそうです。

www.nikkei.com

塩野義製薬の台湾現地法人サイバー攻撃を受け、盗まれた情報の一部がインターネット上に公開されていることが22日分かった。ダークウェブ上に医療機器の輸入許可証や社員の在留許可証が公開され、金銭を支払わなければ、さらに情報を暴露すると脅されているという。

同社によると、今月中旬、台北の営業拠点のパソコンがコンピューターウイルスに感染した。日本国内の研究所などに侵入された痕跡はない。

同社は新型コロナウイルスのワクチンを開発中。台湾に臨床試験(治験)の運営拠点はあるが「先端技術や個人情報は取り扱っていない」としてワクチン関連の情報は流出していないという。

日経新聞記事より引用)

 

公式発表(塩野義製薬

 

キタきつねの所感

日経新聞記事にもランサム被害を受けたらしき記述はありましたが、一般論と読み取れる内容でしたので、普通のサイバー攻撃マルウェア感染)なのか、ランサム攻撃だったのか分かりませんでした。

社内情報を盗んだ上で「身代金」を要求するウイルス「ランサムウエア」の被害は国内で拡大している。新型コロナワクチンの研究機関から機密情報を盗む動きも世界各地で活発化しており、国内でも攻撃が確認されている。

日経新聞記事より引用)

 

しかし、毎日新聞の英語版記事にあるサイバー攻撃スクリーンショットから「ランサム(2重恐喝)」であったと推定されます。

f:id:foxcafelate:20201023060124p:plain

(あなたの全てのネットワークがロックされましたあなたの機密データがダウンロードされています。10日以内に連絡してください。)

関連記事があまり出ていないので、ランサムオペレータは分かりませんが、2重恐喝(企業データを暗号化した解除キーと、窃取した機密データの公開の2つで企業に身代金支払いを迫る)は、全世界的に大きな「ビジネス」となっていますので、シオノギもその被害を受けたと思われます。

※現時点で日経(共同通信)、時事通信、毎日英語版くらいしか関連記事を確認できていません。

 

毎日新聞英語版の掲載されたサイバー攻撃スクリーンショットハッカー側がシオノギの機密情報ファイルを保有している事の証拠として開示したもの)を引用しますが、

f:id:foxcafelate:20201023061128p:plain

まず目を惹くのが「MDF」ファイルです。掲載されている7ファイルで約9.6GBあります。MDF形式はMicrosoft SQL Serverのデータベースファイルですので、ゴッソリとデータベースから社内情報(営業情報や機密情報含む)が窃取された様です。

 

ファイル名から推測すると、COST製品原価などかなり機微な情報が入ってそうな気がします。SALESは販売系のデータですので競合他社などが欲しがる情報かと思います。Attendanceは出席者という意味かと思うので、ここには何か個人情報(顧客情報)が眠っている気がします。

下側のPDFはファイル名には何も手がかりとなる情報がありませんが、写真付きのものや何かの証明書的なものが真ん中に見えます。おそらくこれが、日経記事にあった輸入許可証や社員の在留許可証なのかと思います。

ダークウェブ上に医療機器の輸入許可証や社員の在留許可証が公開され、金銭を支払わなければ、さらに情報を暴露すると脅されているという。

(日経記事より引用)

 

毎日新聞の記事では、現在開発州の新しいコロナウィルスワクチンに関する情報は漏えいしてないと書かれていまし、シオノギ側は国内の研究所やオフィスには不正アクセス(ランサム拡大)の兆候は見られないと発表している様ですので、台湾の現地法人の中だけで被害が収まった(抑え込んだ)のかと思います。

またランサム被害を受けていた場合、台湾の現地法人の(一部の)PC端末等が暗号化されてしまった可能性が高いのですが、各社の記事を見てもランサム被害を受けて営業活動や臨床試験に影響する・・・といった事は書かれてませんので、ITチームが奮闘してバックアップ等から復旧が出来た、もしくは軽微な被害で抑え込めたのかと推測します。

 

今回、シオノギサイバー攻撃(ランサム)被害を発表した事から考えると、身代金(ランサム)を支払わない事を選択したのだと推察されます。

この結果として、ハッカー(ランサムオペレータ)側は、報復措置としてDarkWeb上で、シオノギの営業情報/機密情報を販売する可能性が高いかと思いますが、シオノギ側としては一部機微なデータが漏えいしたとしても、”耐えられる”と判断したのではないでしょうか。

 

ヘルスケア業界へのサイバー攻撃は日本ではあまりニュースを見かけませんが、全世界では結構な被害が出ています。その多くが今回のシオノギが被害を受けた(と思われる)ランサム攻撃です。病院や製薬会社等は特に攻撃対象となりやすく、先日もForbesが注意喚起の記事(10/17)を出しています。

www.forbes.com

 

日本企業や組織も十分警戒すべきかと思います。

 

※新たな情報が出れば記事追記をするかも知れません。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

薬のイラスト「薬ビン」

 

更新履歴

  • 2020年10月23日 AM(予約投稿)