【第2回】ライフサイエンス業界に迫る拡大するランサムウェア・マルウェア被害、サイバーセキュリテ ィの展望

ライフサイエンス業界に迫る拡大するランサムウェア・マルウェア被害

　新型コロナウイルス感染症の拡大だけでなく、医療・ヘルスケア業界は、世界的な高齢化の波を受けて、医療需要の拡大が続いている成長業界です。一方、原材料価格の高騰、カーボンニュートラルへの取り組みなど、製造業を取り巻く事業環境は大きく変化しており、特に新薬や新製品の開発に益々多くの時間と資金が必要な時代となりました。全我々の生活を支えるヘルスケア業界は生活になくてはならない業界でもありますが、同時に製薬業界は非常に価値のある機密データを保有し、その機密データの中には、研究開発データ、医薬品や開発に関する知財情報、治験患者や臨床データなどを保有しています。そのデータを狙うサイバーセキュリティのリスクが日に日に増大しています。 
　故に、製薬会社にとって、サプライチェーン（供給連鎖・経路）におけるサイバーセキュリティ対策及び被害そのものを防ぐことが、非常に最重な経営課題になっております。第一回目にて紹介した、独立行政法人情報処理推進機構(通称IPA)が発表したサイバー空間における「情報セキュリティ10大脅威2023」にもサプライチェーンへの攻撃が毎年上位にランクインされていることから、社会的な影響が増しているといえるでしょう。
　そこで、第二回目では、ライフサイエンス業界におけるサプライチェーンの被害に焦点を当てたいと思います。まず、そもそもの用語としての、サプライチェーン攻撃は、幅広いサイバー攻撃を表しており、主に製品、サプライヤー、及びシステムサービスが繋がるネットワークを介して、被害が拡大し、攻撃範囲を拡げていくタイプのサイバー攻撃になります。
　具体的には、大きく二つのタイプがあります。まず、英語で表すと本来の意味のSupply　Chain Attack（サプライチェーン攻撃）と表記される攻撃で、製品や資材のサプライチェーンを標的としたサプライチェーン内のITやソフトウェアベンダーのソフトウェアやUSBメモリ・CD-Rなのどの持込メディアを経由して、複数の企業が関わるサプライチェーン自体を攻撃する手法です。二つ目は、Island Hopping Attack（アイランドホッピング攻撃）と言われる保守やクラウドサービス経由して攻撃範囲を広げていく攻撃手法です、日本国内では、脆弱な子会社やパートナー企業を侵害し、本来のターゲットに移行する意味で、上記のアイランドホッピング攻撃をサプライチェーン攻撃の意味で用語を引用するケースが散見され、両者を合わせてサプライチェーン攻撃と呼ぶことが多いようです。

　さらに、用語として、ソフトウェアサプライチェーン攻撃に関しても解説をしますと、例えば、開発エンジニアとして、ミドルウェア ライブラリやサードパーティのオープンソースコードを利用することは、ソフトウェア開発の日常業務の一部です。但し、フリーやサードパーティのコードの使用にはリスクも存在します。 ソフトウェアサプライチェーン攻撃では、悪意のある攻撃者は信頼できるベンダーを利用して、サードパーティのコードやビルドシステムにマルウェアを挿入することで、何も疑っていない利用者にマルウェアを配布し、攻撃を仕掛けます。
　補足ですが、このようなサードパーティのコードやプログラムを社内の開発環境に取り組む際に、コードやプログラムファイル自体を複数AVエンジにより『マルチスキャン』^#1を通すことにより、脅威を除去することが有効であることが実証されております。
　米国立標準技術研究所 (NIST) の『ソフトウェア サプライ チェーン攻撃の情報シート』によると「ソフトウェアサプライチェーン攻撃は、ソフトウェアプロバイダーと消費者間の基本的かつ想定される信頼を侵害するため、特に厄介かつ陰湿な攻撃である」と述べています。 NIST はまた、ソフトウェア開発および流通チャネルの保護が不十分であることと、他のサイバー攻撃経路がより把握困難になることにより、これらの攻撃はさらに拡大する傾向があると可能性が高いと警鐘を鳴らしています。