不正アクセス事例|バイオファーマ製薬企業が外部サービスにより情報漏えいをした原因

 

不正アクセスの概要

2023年8月29日、ブリストル・マイヤーズ スクイブ社(以下、同社)は、セキュアファイル転送サービス「MOVEit(以下、同サービス)」がサイバー攻撃により、個人情報を含む一部のデータに不正アクセスがなされた可能性があると発表しました。

ブリストル・マイヤーズ スクイブ株式会社より引用:セキュアファイル転送サービス「MOVEit」への不正アクセスによる 個人情報の流出に関するお詫び

 

不正アクセスの詳細

同社の発表によれば、影響を受ける可能性があるのは、同社が運用する医療従事者向けサイトの登録者及び一定期間内に同社日本法人に所属していた従業員です。

 

不正アクセスの原因

同サービスはProgress Software社によって提供されているサービスで、2023年5月にその脆弱性を利用したゼロデイ攻撃によってランサムウェア感染被害が確認されたとのことです。ブリストル・マイヤーズ スクイブ社はこのサービスを利用しており、調査の結果、同社が保有する一部の個人情報について不正アクセスの可能性が明らかになりました。

 

今後の対応

現時点では流出情報の不正利用などによる二次被害は確認されていないとのことですが、不審なメールなどに対して注意するよう呼びかけています。また、同社は再発防止対策を検討しています。

 

まとめ「自社のサービスは必ず脆弱性診断を」

本件はサービス提供事業者に認識していただきたい事例です。自社が提供するサービスに脆弱性があり、その脆弱性を狙われることで利用企業に大きな被害を与えてしまいます。

サービスのブランド毀損はさることながら、サービス解約など売上損害も充分考えられます。本件は特に「ゼロデイ攻撃」によって脆弱性が発生した直後に狙われていることもあり、診断頻度を高めていれば回避できた可能性のある事例でした。

secuasは「一日1回、365日毎日診断」を実施しておりますので、万が一脆弱性が発生してもすぐに検知し、通知を行います。ゼロデイ攻撃にも対策出来るsecuasの無料診断をぜひお試しください。

【この記事と関連する記事はコチラ】

EC・Webサイト管理者必見|脆弱性診断の理想の頻度を事例を基にご紹介