UFP Technologies、医療システムへのサイバー攻撃によるデータ漏洩を報告
米国の医療機器メーカーUFP Technologiesがサイバー攻撃を受け、ITシステムへの不正アクセスとデータ流出が発生。医療セクターのサイバーセキュリティリスクが浮き彫りに。
医療機器メーカーがサイバー攻撃とデータ窃取を確認
米国の医療機器メーカーUFP Technologiesは、ITシステムへの不正アクセスとデータ漏洩を引き起こしたサイバーセキュリティインシデントを公表した。同社は医療分野向けのカスタムエンジニアリング部品を専門としており、規制当局への提出書類で侵害を確認したが、インシデントの全容や影響を受けたデータの種類についてはまだ明らかにしていない。
技術的詳細とインシデント対応
UFP Technologiesは2024年6月26日にサイバー攻撃を検知し、サードパーティのサイバーセキュリティ専門家の支援を受けて即座に調査を開始した。同社は攻撃を特定の脅威アクターに帰属させていないほか、侵害の痕跡(IOCs)も公表していないが、データが流出したことは確認している。調査は現在も進行中で、盗まれたデータが公開されたり悪用されたりした証拠はまだ見つかっていない。
同社は、この攻撃がランサムウェアによるものかどうか、あるいは未修正のシステムやフィッシングなどの脆弱性が関与したかどうかも明らかにしていない。UFP Technologiesは封じ込め対策を実施し、影響を受けたシステムの復旧とセキュリティ態勢の強化に取り組んでいる。
影響と業界の文脈
このインシデントは、機密性の高いデータを扱う医療機器メーカーが直面するサイバーセキュリティリスクの高まりを浮き彫りにしている。UFP Technologiesは、患者データ、知的財産、または運用システムが侵害されたかどうかを明らかにしていないが、このようなインシデントは以下のリスクを引き起こす可能性がある:
- HIPAAなどの規制フレームワークに基づく規制当局の監視(保護医療情報が漏洩した場合)
- UFPの製品に依存する医療提供者へのサプライチェーンの混乱
- 風評被害と潜在的な法的責任
医療機器業界ではサイバー攻撃が増加しており、Change Healthcare(2024年)、Becton Dickinson(2023年)、Medtronic(2022年)などの最近のインシデントが業界の脆弱性を浮き彫りにしている。米国FDAとCISAは、医療機器メーカーに対し、デバイス設計やインシデント対応計画におけるサイバーセキュリティの優先を求めるガイダンスを以前に発行している。
医療・製造業界向けの推奨事項
このインシデントを受け、医療および製造業界のセキュリティ専門家は以下の対策を検討すべきである:
- インシデント対応計画の見直し – 侵害発生時の迅速な封じ込めとフォレンジック分析の準備を確認。
- データ流出の監視強化 – DLP(Data Loss Prevention)ツールやネットワークトラフィック分析を導入し、不正なデータ転送を検知。
- サードパーティリスクの評価 – 機密データを扱うサプライヤーやパートナーのセキュリティ態勢を評価。
- システムのパッチ適用と更新 – レガシー医療機器やIoT対応システムにおける重要な脆弱性の修正を優先。
- 机上演習の実施 – サイバー攻撃シナリオをシミュレーションし、組織の準備状況と連携をテスト。
UFP Technologiesは、調査の進展に応じてさらなる情報を提供するとしている。同社は、このインシデントに関して法執行機関や規制当局と連携しているかどうかも明らかにしていない。