| なぜ製薬業界が狙われる?ランサムウェア攻撃の実態と今すぐ取るべき対策と事例 | |
|---|---|
| 作成日時 25/08/05 (08:11) | View 34 |
ランサムウェアは、もはや製薬業界にとって他人事ではありません。研究データの暗号化や機密情報の流出によって業務が停止し、企業の信用を揺るがす被害が相次いでいます。
製薬企業は、新薬の開発データや治験結果、取引先との機密契約など、極めて価値の高い情報を多数保有しています。一方で、レガシーシステムの使用や複雑なサプライチェーンといった構造的な問題が、セキュリティ上の死角を生み出しているのも事実です。自社の研究、製造、営業といった各部門で、果たして十分な備えができているでしょうか。
本記事では、製薬業界がランサムウェア攻撃に狙われやすい理由と実際の被害事例、そして今すぐ実施すべき対策について、実務の視点から解説します。経営リスクとしてのサイバー攻撃に備えるために、ぜひ最後までお読みください。
ランサムウェアとは、企業や組織のシステムに侵入し、重要なデータを暗号化して使用不能にし、その復旧と引き換えに身代金(ランサム)を要求するサイバー攻撃の一種です。近年では、データを人質に取るだけでなく、機密情報の流出をちらつかせて追加の金銭を求める二重恐喝型の攻撃が増加しています。
製薬業界で日々、研究や生産に従事する方にとって、システムの停止や情報漏洩は業務継続にとどまらず、企業の信用そのものを揺るがしかねません。たとえば治験データが暗号化されれば、納期遅延や承認プロセスの停滞を招き、数億円規模の損失に直結する恐れがあります。
ランサムウェアの多くは、従来型のウイルスとは異なり、対象組織を選び、脆弱性や業務フローを分析したうえで実行されます。無差別ではなく、明確に狙われる攻撃であることが特徴です。特に知的財産や機密業務を多く扱う製薬業界は、攻撃者にとって格好の標的となっています。
ランサムウェアの全貌|主な種類から最新攻撃手法、対策のポイントまで
数ある業界の中でも製薬業界が狙われる理由、それは攻撃のしやすさと高額な身代金を要求できる点にあります。ここでは、製薬業界が狙われる3つの理由を整理します。
製薬業界がランサムウェア攻撃の標的となる大きな理由の一つは、他業界と比較して極めて高価な知的財産を保有していることです。新薬の開発には10年以上、数百億円規模の投資が必要とされ、研究成果や臨床試験データ、製造ノウハウなどの機密情報は、企業の根幹を支える資産です。
攻撃者にとっては、こうした情報を一時的にでも奪うことができれば、企業が多額の身代金を支払ってでも回収を図る可能性があります。特に、特許申請前の技術や提携先との共同研究資料などは、外部に漏れれば事業基盤そのものに深刻な影響を及ぼしかねないため、狙われやすい対象となります。
加えて、製薬業界では製造委託先との契約データや海外取引に関する報告書、サプライチェーンに関する文書など、国境を越えて共有される機密情報も多く存在します。こうした文書が流出すれば、取引先や規制当局からの信頼を失うリスクが高く、企業には慎重かつ厳格な対応が求められるのです。
近年、業務の多様化とデジタル化が急速に進み、ネットワークの接続範囲が大幅に広がっています。
特にパンデミック以降は、研究開発部門やMR(医薬情報担当者)を中心にリモートワークが普及し、社外からのアクセス機会が急増しました。その結果、従来は社内に限定されていた情報資産が、多様な端末や接続環境から利用されるようになっています。
臨床試験の現場でも、病院や被験者との間でデジタル化が進み、治験データの収集・共有がオンラインで行われるようになりました。効率化が進む一方で、攻撃対象となる機器や回線が増加し、セキュリティホールが生じやすくなっているのが実情です。
たとえば、リモートアクセス用に導入されたVPN(仮想プライベートネットワーク)機器のパスワードが初期設定のまま放置されていたケース、病院連携のために導入した外部ツールに脆弱性が存在した事例など、日常運用の盲点が攻撃者に狙われる原因となっています。
複数の研究拠点や提携先、CRO(Contract Research Organization:開発業務受託機関)とデータをやり取りしている企業では、通信経路が複雑化し、一元的な監視や制御が難しくなっていないでしょうか。ネットワークの利便性とセキュリティは常にトレードオフの関係にあり、業務効率化が進むほど、侵入経路が増えるというリスクも伴います。
製薬業界がランサムウェアの標的となる根本要因の一つに、業務を支える多くのシステムが、いまだにレガシー環境に依存していることが挙げられます。
研究開発、生産管理、品質試験、薬事対応といった分野では、長年にわたり独自に構築・運用されてきたシステムが業務に深く組み込まれており、容易には刷新できません。
10年以上前に導入されたWindows Serverや独自プロトコルで制御される製造設備が、現在も現場で使用されていることは珍しくありません。こうした古い環境では、すでにベンダーサポートが終了していたり、セキュリティパッチが適用されていなかったりと、攻撃者にとっては開いたままの扉と化しているのです。
また、複雑な業務フローを支えるなかで、自社のIT資産全体を把握できていない企業も少なくありません。端末の用途やネットワーク接続先の可視化が不十分であれば、万が一侵入された際に影響範囲を迅速に特定することは困難になります。
このような状況では、攻撃の発見が遅れ、対応に時間がかかり、結果として被害が拡大しやすくなります。
もし、御社でも古い設備が止められない、システム構成が特定の担当者しか把握していないなど、属人化や運用の放置が見られるようであれば、それはすでにランサムウェアに対して無防備な状態といえるかもしれません。
ランサムウェアを防ぐためには、攻撃の手口と侵入経路の把握が欠かせません。製薬業界においては、次の3つが主な侵入経路となります。
ランサムウェア侵入の主要な手口のひとつが、フィッシングメールによる攻撃です。取引先とのやり取りが多い製薬業界では、それに便乗した偽装メールの被害が後を絶ちません。
一例をあげると、試薬の納期確認や臨床試験資料の送付など、日常業務に即した件名で送られたメールに、巧妙に仕掛けられたリンクや添付ファイルを開かせる手口です。マクロ付きのWord・Excelファイルや、.exeファイルを圧縮形式に偽装したものが多く、一度開けばPCが感染し、社内ネットワーク全体に被害が及ぶ恐れがあります。
こうした攻撃は、技術対策だけでは防ぎきれません。
最終的に判断するのは人であり、誤ってリンクをクリックすれば重大な被害に直結します。そのため、全社員へのセキュリティ教育や、不審メールの報告体制といった人的防御の強化が不可欠です。
VPN(仮想プライベートネットワーク)やRDP(リモートデスクトッププロトコル)は、研究者や営業担当が社外から業務システムへ接続する手段として、製薬業界でも広く利用されています。しかし、その利便性の裏で、これらは攻撃者にとっても有効な侵入口となっています。
公開IPアドレスの中から、VPN機器やRDPが稼働するポートをスキャンし、古いバージョンの脆弱性や設定ミスを突いて不正アクセスを狙う手口が確認されています。初期パスワードのまま使われていたり、MFA(多要素認証)が未導入の場合、ブルートフォース攻撃で突破されるリスクも高まるでしょう。
特にRDPは、社内端末を外部から直接操作できるため、乗っ取られれば他端末への感染拡大にもつながります。しかも多くのWindows端末に標準搭載されているため、利用実態を把握しきれていない企業も少なくありません。
製薬業界で近年増加しているのが、サプライチェーンを悪用した間接的なランサムウェア攻撃です。これは、攻撃者が標的企業ではなく、その外部委託先や提携先の脆弱性を利用して侵入し、そこから本体のネットワークにアクセスする手法です。
製薬企業は、研究機関、CRO(開発業務受託機関)、CMO(製造業務受託機関)、物流や販売パートナーなど、多くの外部組織と連携して業務を行っています。たとえ自社が万全な対策を講じていても、連携先に弱点があれば、そこが突破口になる可能性があります。
この手法の厄介な点は、正規の通信経路に見せかけて侵入できるため、セキュリティシステムによる検知が難しいことです。また、信頼している取引先からのアクセスという性質上、従業員が警戒を怠りやすく、被害の発見が遅れるリスクもあります。
ここでは、実際に製薬業界で起きたランサムウェア被害事例を見ていきましょう。
2023年6月、エーザイ株式会社は、自社グループの一部サーバーが暗号化されるというランサムウェア攻撃を受けたことを公表しました。被害が確認されたのは6月3日深夜。複数のサーバーが標的となり、同社は直ちに外部専門家と連携しながら調査を開始し、全社対策本部を立ち上げて対応にあたりました。
被害の拡大を防ぐため、物流関連をはじめとした国内外の一部システムをサーバーから切り離す対応が取られた一方で、ホームページやメールといった主要インフラは通常通り稼働を継続。初動段階における被害限定の判断は迅速かつ的確だったといえます。
評価すべき点は、事実公表のスピードと関係各所への謝罪・説明責任を果たそうとする姿勢です。攻撃を受けたことを隠すのではなく、早期にリスクを開示し、関係者への影響を最小限に抑える対応を進めたことは、透明性のある企業姿勢として信頼につながります。
2024年6月、新日本製薬株式会社は、第三者からのランサムウェア攻撃により一部サーバーが暗号化される被害を受けたことを発表しました。同社は攻撃発覚直後にネットワークを切り離し、外部専門機関や弁護士、警察と連携しながら調査・復旧を進める体制を構築。被害の全容把握と再発防止に向けて、全社的な対応を進めてきました。
今回の攻撃では、VPN装置に残っていた脆弱性を悪用され、さらに類推されたパスワードを用いて社内ネットワークへの侵入が行われたとされています。幸いなことに、暗号化された業務関連データはすべて安全なバックアップから復旧され、外部への情報漏洩も確認されていません。業務にも大きな支障は出ておらず、被害の拡大は最小限に抑えられました。
同社の対応で特筆すべき点は、初動の早さと情報の開示姿勢です。被害の概要や原因、再発防止策を2度にわたって公式に発表し、関係者への説明責任を果たす姿勢を明確にしています。こうした対応は、単に技術的な復旧にとどまらず、取引先や顧客との信頼関係を守るうえでも極めて重要です。
一方で、VPNの脆弱性やパスワード推測による侵入を許してしまった点は、基本的なセキュリティガバナンスにおける盲点だったといえます。このようなシンプルな手口でも攻撃が成立してしまうことは、あらゆる企業に共通するリスクとして受け止めるべきでしょう。
新日本製薬は現在、ネットワーク・エンドポイント・脆弱性管理・パスワードポリシーの見直しをはじめとする6項目の対策を公表し、外部専門家の助言のもと再発防止に取り組んでいます。
あなたの企業でも、同様の弱点が放置されていないでしょうか。
今回の事例は、見過ごされがちな当たり前の対策が、いかに重要かを改めて示しています。
数ある対策方法の中でも、特に製薬業界が注力するべき対策をご紹介します。
ランサムウェア対策の第一歩は、社内の見えない領域を可視化することです。製薬業界では各部門が独自にIT機器やネットワークを使うため、全体像の把握が難しく、侵入経路を特定できなければ封じ込めや再発防止も困難です。
この対策として有効なのが、全端末へのEDR(Endpoint Detection and Response)導入です。EDRはエンドポイントの挙動を常時監視し、深夜のファイル暗号化や異常通信などを即座に検知・通知。初動対応の迅速化に寄与します。
さらに、社外端末も含めたログの一元管理と、AIによる相関分析を組み合わせることで、分散したログから関連異常を自動検出でき、属人的な判断ミスを防げます。
加えて、SIEMとXDRを活用すれば、エンドポイント・ネットワーク・クラウドを横断的に監視でき、不審な通信の同時発生も一つのインシデントとして統合的に把握できます。
ランサムウェア攻撃では、侵入そのものを完全に防ぐのは現実的に困難です。だからこそ、侵入を前提とした封じ込めと被害の最小化が対策の中心となります。特に製薬業界では、一部の端末や部門への感染が全体へ波及しないよう、システム設計の見直しが重要です。
まず着手すべきは、ネットワークのセグメンテーションです。
研究、製造、営業などの各部門を物理的・論理的に分離することで、攻撃の横展開を防ぎます。たとえば、研究拠点が侵害された場合でも、工場や顧客データにアクセスできない構成とすることで、被害を局所化できます。
次に、Active Directory(AD)の冗長化も欠かせません。ADは認証基盤として重要ですが、一度乗っ取られると社内全端末が操作されるリスクがあります。これを防ぐには、ADを複数拠点に分散配置し、同期が断たれても基本的な認証が維持される構成にしましょう。
また、RDP(リモートデスクトップ)やFTPといった旧式の通信プロトコルは、現代のセキュリティ要件に合致しておらず、脆弱性の温床となりがちです。こうした技術を使用している場合は、早急に廃止またはより安全な手段への置き換えが求められます。
ランサムウェア対策において、最終的な生命線となるのがバックアップです。しかし、単にバックアップを取るだけでは不十分です。多くの企業では、復元可能性を確認しないまま運用を続けており、いざというときに機能しないケースも少なくありません。
重要なのは、バックアップ対象の選定と優先順位の明確化です。
すべてを一律に保存するのではなく、事業継続に不可欠なシステムやファイルを特定し、重要度に応じた保存頻度と保持期間を設定します。たとえば、GMP関連の記録や臨床試験データは日次、営業資料は週次といった分類が効果的です。
次に検討すべきは、保存場所と構成です。多くの企業が社内ネットワーク上にバックアップを置いていますが、ランサムウェアはネットワーク接続先のデータも暗号化対象とするため、この方法では安全とはいえません。
そこで、オフライン・オフサイトへの多重保存がポイントとなります。たとえば、月次でクラウドと物理媒体の双方にバックアップを保存するといった具合です。
ランサムウェアの脅威は、単なるシステム暗号化にとどまりません。近年では、盗んだ機密データをダークウェブ上に公開すると脅す二重恐喝型の手法が主流となっており、情報漏えいの即時検知が重要性を増しています。
ダークウェブとは、通常の検索エンジンではアクセスできない匿名性の高いインターネット領域です。
ランサムグループは、盗んだ情報の一部を見せしめとして掲載したり、買い手を募る場として活用します。自社のドメイン名、社員のメールアドレス、研究データ、設計書などが掲載されていた場合、それはすでに情報が外部へ拡散していることを意味します。
このリスクに備えるには、被害の有無にかかわらず、日常的なダークウェブの監視体制を構築し、兆候を早期に検知することが不可欠です。
さらに、ダークウェブ上で自社情報が確認された場合は、社内外への説明、当局への報告、取引先との調整など多くの業務が短時間で発生します。これに備え、対応フローやQ&Aなどの想定問答集をあらかじめ整備しておくことが、被害拡大の防止につながります。
ダークウェブとは?歴史やアクセスの方法、企業の活用方法を解説
ダークウェブモニタリングとは|重要性や仕組み・選定ポイントを徹底解説
ランサムウェアは、もはや一部の大企業だけの問題ではありません。製薬業界が持つ高価な知的財産、社会的影響力、複雑なサプライチェーン、これらは攻撃者にとって格好の標的です。侵入手口も巧妙化し、完全な侵入防止は現実的ではなくなっています。
だからこそ、いま企業に求められるのは、「攻撃されないこと」ではなく、「攻撃を前提に、実効性ある備えを整えること」です。
EDRやXDRによる可視化、ネットワークのセグメント化、オフサイト・オフラインのバックアップ、ダークウェブの監視。これらは単なるIT施策ではなく、事業の持続性を守るための経営判断に他なりません。
「うちには関係ない」と考える前に、自社のリスクを今すぐ見直してみてください。着手に迷う場合は、まず情報資産の棚卸しと可視化から始めるのが、現実的かつ効果的な一歩です。
当社ではダークウェブ監視サービス「StealthMole」を提供しています。ぜひ無料デモをお試しいただき、貴社の情報流出状況を把握していただけると幸いです。
