ブログ(トレンド&インサイト)

製薬業界を執拗に攻撃するサイバー攻撃グループが存在

本コンテンツは、2014年8月21日(米国時間)にFireEye,Inc.のブログにて公開された内容の翻訳です。本内容は予告なく更新されている可能性があることをご了承ください。

米国カリフォルニア州ミルピタス発

特定の業界・企業を狙うサイバー攻撃(標的型攻撃)を行うグループによって、製薬・医療サービス業界が標的にされていることがわかりました。こうした攻撃により、システムが危険にさらされ、機密情報を盗みとられるだけでなく、場合によっては人命を危険にさらすおそれも考えられます。ファイア・アイの最近のレポートで、製薬・医療サービス事業者が保有する患者の個人データはサイバー攻撃を行う犯罪グループにとっては宝の山であり、有益な情報を得られる業界として狙われていることがわかりました。

ファイア・アイでは、標的型攻撃(特に国家が支援するサイバー攻撃グループ)について顧客企業に説明する際、長期的な視点で攻撃グループにとって有益な情報資産が何かを考えていただくことをお願いしています。明確な意図を持ってサイバー攻撃グループを利用する国には、戦略的医療への取り組みがあります。しかし、国家的に重要性の高い取り組みでありながら、将来的に行き詰まりが見えているなどの問題があるため、自国内の医療サービス問題に対する対処能力を向上させることを目的に技術、工程、および専門知識に関連する知的財産を狙って、製薬業界に照準を当ててきていると見られます。

いくつかの兆候

以前、ファイア・アイが製薬企業と共同で調査を行ったケースでは、経済的スパイ活動のために、国家的なサイバー攻撃グループが被害企業を標的にしていたことを確認しました。事例の一例として、中国を拠点とする2つの標的型攻撃グループが、調査が始まる3年も前にその被害企業のシステム環境に侵入していたことが判明しました。これらの攻撃グループは、100台を超える企業のシステムに侵入して情報を盗みとったり、また被害企業のネットワークへの継続的なアクセスを容易にするためのバックドアを設置していました。これらの標的型攻撃グループの1つは、生物学的な培養、製品、コストに関するレポート、また海外の営業活動に関係する情報など、被害企業の知的財産と機密情報をひそかに盗み取っていました。

盗み取られた知的財産と情報は、最終的に業界内の競争的優位を獲得するために、攻撃グループの国内の製薬企業に役立てられた可能性が高いと考えられます。[参考1] 盗まれた細胞培養と製品に関する情報をもとに同様の製品を製造したり、被害企業の研究成果を参考に研究開発経費を最小限に抑えて、特定領域の研究を推進した可能性があります。またある組織は、競合企業の製造コストと価格に関する情報をもとに、より低価格の製品を提供することによって、標的となった企業の市場シェアを低下させた可能性もあります。

また、某国家が標的型サイバー攻撃の活動を利用して、国内の医療サービスが抱える課題を解決するためにデータを盗み取った可能性もあります。例えばファイア・アイでは、昨年後半のある1週間、中国を拠点とする標的型攻撃グループが腫瘍に関する治療法やサービスを提供する3つの異なる企業を標的にしていたことを確認しています。この活動には、中国の増加し続ける発癌率に対処するための、中国政府の戦略の一部である可能性があります。(ガーディアン紙の記事では、「中国の癌死亡率はこの30年で80%増加し、癌が同国の主な死亡原因となった」と報じています。[2])

攻撃の検出

標的型攻撃グループの行動を特定、分析、さらに予測し、攻撃者による長期的な戦略を把握する視野を持つことは、サイバー攻撃に対抗するための知恵の一部にすぎません。攻撃活動の種類という観点からみると、ファイア・アイがサービスを提供している医療サービスと製薬業界のお客様は、他の業界とほぼ同じ標的型攻撃を受けています。

ファイア・アイでは、7月に製薬と医療サービス関連企業のお客様を対象にマルウェアを使用した攻撃を確認し、標的型攻撃グループによって使用されたすべてのツールで一貫性があることを発見しました。その月全体で、製薬業界に対する標的型攻撃と見られるWeb/ファイル/電子メールの検出数が、前月と比べて若干増加しました。ファイア・アイは既存のコマンド&コントロール(C&C)サーバーへの3万回を超えるコールバックと、各種リモートアクセスツール(RAT)による激しい攻撃を観測しました。そのほとんどがnjRATとXtremeRATを利用したもので、弊社ではこれらのRATについて、技術的な分析を含めた情報を2月のブログに投稿しています。各種RATは容易に入手できるため、ファイア・アイでは、さまざまな攻撃グループが同様のRATを使用しているおそれについて注意喚起しました。これらの攻撃グループには、従来のサイバー犯罪活動と調和させようとする標的型攻撃グループも含まれています。

今後の見込み

ファイア・アイでは、製薬・医療サービス業界の重要性を考えれば、経済成長と国内の医療サービスといった課題を抱える国家によって支援された攻撃グループが、近い将来も同業界の企業を引き続き標的にすると考えています。また国家とは関係のない、金銭的な動機からの攻撃グループも脅威をもたらします。金銭が目当てのサイバー犯罪者は、製剤工程に関連する知的財産を狙いとしています。全米薬剤師審議会(National Association of Boards of Pharmacy)の調査では、2010年における世界市場での偽造医薬品の取引は750億米ドルと見積もられており、これをさらに促進する可能性があります。[3] これらのグループは、システムに不正侵入して情報を盗み取るため、臨床試験の完全性を危うくするおそれがあります。そうなると製薬企業は莫大な費用を背負うことになるだけでなく、プライバシー法や他のコンプライアンス違反に問われてしまう可能性があります。ファイア・アイでは、そうした情報をまだ確認してはいませんが、さまざまな潜在的リスクを考慮しておくことがセキュリティの向上の鍵であると考えています。

[参考1] 最近公開されたFBIの刑事告訴状によって、Su Binという名前の中国人が、名前は不明の2人の協力者と共謀して、コンピュータに侵入して米国の軍事計画に関するデータを盗み取ったとして申し立てられました。この訴状では、国家に支援されたスパイ活動の背後にある組織構造がかいま見られ、個々の攻撃者がどのように標的の指令を受け取り、次にそれらの指令をどのように使用して情報を盗み取ったかが詳しく説明されていました。この訴状で詳述されているいくつかの電子メール上のやり取りによって、不正侵入によって最終的な利益を受ける企業が中国の国有企業であったことが示唆されています。このFBIの訴状では、Suと名前の不明な協力者が共謀して、盗み取った航空機の情報を中国の航空宇宙企業を含む複数の買い手に売ろうと企み、盗んだデータを最も適切な買い手に売却したと結論づけています。ファイア・アイでは、このFBI訴状に関連する業界で起こったことが、製薬業界などの他の業界におけるデータの窃盗フローと同じであると考えています。

[参考2] ガーディアン紙2013年6月4日号、Web版2014年7月9日号のKaiman Jonathanの「Inside China’s ‘Cancer Villages(中国の癌の村の内側)」。

[参考3] ブルームバーグLPの2013年1月17日号、Web版2014年7月9日号のGillette Felix「Inside Pfizer’s Fight Against Counterfeit Drugs(ファイザーの偽薬との戦いの内側)」。