欧州の大手製薬会社のセキュリティ対策に関する調査が行われ、ウェブアプリケーションに懸念すべき水準の脆弱性や弱点が数多くあることが明らかになった。
Outpost24が、欧州の製薬会社の上位10社は、いずれも堅牢なセキュリティ態勢を維持できていないと結論づける調査結果を発表した。同社は、製薬会社のアプリケーションの約80%が深刻なサイバー攻撃のリスクに晒されていると述べている。
同社のレポート「2021 Web Application Security for Healthcare」によれば、EUの製薬企業はウェブアプリケーションを多数使用しており、それらのアプリケーションをスキャンしたところ、3.3%が「疑わしい」(例:社内に閉じているべきテスト環境がオープンになっているなど)と判断されたという。
また、調査対象のウェブアプリケーションの18%には、既知の脆弱性が存在する古いウェブコンポーネントが使用されていた。米国の医療機関でも疑わしいアプリケーションの割合はほぼ同じだったが、アプリケーションの数自体は少なかった。ただし、その中の23.74%で古いコンポーネントが使用されていることも分かった。
提供:Outpost24
報告書によれば、EUの製薬会社のウェブアプリケーションのうち、200以上でログインフォームの情報が暗号化されておらず、情報が傍受されたり、盗まれたりする可能性があった。
Outpost24はまた、そのほかにも、基本的なSSLの問題や、プライバシーポリシーの誤設定、クッキーの設定などの、よくあるセキュリティ上の問題やコンプライアンス上の問題が見られたと述べている。
医療機関や製薬会社がサイバー攻撃を受ければ、その被害は深刻なものになる可能性がある。コロナ禍が始まってから、多くの医療機関や製薬会社が標的になっている。最近では、新型コロナウイルスの研究を行っているオックスフォード大学の研究室や、UK Research and Innovation(UKRI)がサイバー攻撃の被害を受け、データの盗難や業務の停止などの事態を招く恐れがあった。
Outpost24のセキュリティ研究者Nicolas Renard氏は、「製薬会社が処理する企業秘密とアタックサーフェス(攻撃対象領域)がより一層関連するようになっており、脅威アクターに悪質な攻撃を増大して利益を得る理由と動機を与えている。そして、公衆衛生がリスクにさらされている」とコメントしている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
