AJ Vicens
[16日 ロイター] - サイバー恐喝グループ「FulcrumSec」は16日、デンマークの製薬大手ノボノルディスクから約1.3テラバイトのデータを盗み、同社に要求した2500万ドルの支払いを拒否されたため、一部データの売却を検討しているとウェブサイトで公表した。特定の医薬品に関するデータや他の内部データの一部を「非公開で販売することを検討している」という。
ただ同組織はノボノルディスクの従業員と医師の計数千人、約1万1500人の仮名化された臨床試験参加者に関する情報、生産施設のセンサーや機械との連携に使う運用技術およびソフトウエアに関するデータを含めた一部については公開しないと説明した。
2025年10月に活動を開始したFulcrumSecは、2カ月超にわたってノボノルディスクの社内ネットワークに侵入し、データを盗み出したと主張。盗んだデータには同社のソースコード、発売済みおよび未発売の医薬品に関する機密情報、臨床試験データ、従業員・医師・患者のデータ、同社の加工施設の情報、社内人工知能(AI)モデルの情報が含まれているとした。
ノボノルディスクの広報担当者は電子メールを通じて「当社のシステムから外部へ無断に複写されたとされるデータがオンライン上で公開されたという主張を把握している。当社は本件を深刻に受け止めており、主要プラットフォームの運用を継続している。関係当局と連絡を取っている」とコメントした。
FulcrumSecはロイターへの電子メールで、ノボノルディスク幹部らに最初に接触した約48時間後の今月3日、同社の担当者が連絡してきたと説明。代表者はデータを販売しない方が望ましいとし、「データを公開することの方が、将来支払いを回避する企業のより効果的な抑止力となる」とコメントした。
ノボノルディスクは11日、限られた数の社内ITシステムが不正アクセスされ、それらの中には特定の個人データへのアクセスも含まれていたと公表していた。
FulcrumSecの動きを注視してきたサイバーセキュリティ企業Lab―1の調査責任者トーマス・ウィルカン氏は、FulcrumSecについて「能力と主張の両面で大概はかなり信憑性が高い」との見解を示した。
ノボノルディスクは経口肥満症治療薬「ウゴービ」や糖尿病治療薬「オゼンピック」などの製品で知られている。
