概要
アメリカの製薬企業Inotivは、2025年8月に発生したランサムウェア攻撃により、数千人規模の個人情報が窃取されたことを公表し、対象者への通知を開始しました。
インディアナ州を拠点とするInotivは、医薬品開発、発見、安全性評価、生体動物研究モデリングを専門とする契約研究機関(CRO)です。約2,000人の従業員を擁し、年間収益は5億ドルを超えています。
攻撃の詳細
同社は、攻撃によりネットワークやシステム(データベース、内部アプリケーションを含む)が停止し、事業運営に支障をきたしたと発表していました。今週、米国証券取引委員会(SEC)への提出書類で、影響を受けたネットワークやシステムへの「可用性とアクセスを復旧した」ことを明らかにしました。
調査の結果、2025年8月5日から8日にかけて、脅威アクターがInotivのシステムに不正アクセスし、一部のデータを取得した可能性があると判明しました。漏洩した可能性のあるデータには、現・元従業員とその家族、およびInotivや買収した企業と関わりのあった個人の情報が含まれています。
しかし、Inotivは、現時点ではどの種類のデータが窃取されたかについては詳細を公開していません。
Qilinランサムウェアの関与
この攻撃に関して、Qilinランサムウェアグループが8月に犯行声明を出し、同社の侵害されたシステムから窃取したとされるデータサンプルを公開しました。同グループは、162,000以上のファイル、合計176GBを超えるデータを抜き出したと主張しています。
Inotivの広報担当者は、Qilinランサムウェアの主張の真偽に関するBleepingComputerの問い合わせに対し、まだ回答していません。
Qilinは、2022年8月に「Agenda」という名前でRaaS(Ransomware-as-a-Service)オペレーションとして登場し、これまでダークウェブのリークサイトで300以上の被害組織を主張しています。その被害組織には、自動車大手Yangfeng、オーストラリアの裁判所サービスCourt Services Victoria、出版大手Lee Enterprises、病理サービスプロバイダーSynnovisなどが含まれており、特にSynnovisへの攻撃は、ロンドンの主要なNHS病院に影響を与え、数百件の予約や手術がキャンセルされる事態となりました。
今後の見通し
今回のInotivの事例は、製薬業界のような機密性の高いデータを扱う企業が、ランサムウェア攻撃の標的となり、大規模なデータ漏洩につながるリスクがあることを改めて示しています。企業は、データセキュリティ対策の強化と、万が一の際の迅速な対応計画が不可欠です。