メディカル・ヘルスケア領域でのサイバーセキュリティーデジタル変革期のイノベーションとどう向き合うか新型コロナウイルス感染症ワクチンに関連したサイバー脅威動向

新型コロナウイルス感染症（COVID-19）の拡大はサイバー脅威動向にも大きな変化をもたらしています。人々の接触を減らすために普及したリモートワークはVPN（Virtual Private Network）やオンライン会議システムのような攻撃対象領域（アタックサーフェイス）を拡大し、サイバーインシデントの急増を招きました。また、それと並行してワクチン開発に関連したさまざまなサイバー攻撃が継続的に確認されています。国内では、2021年2月下旬のワクチン接種開始に向けて準備を進めることが日本政府から発表されていますが、こうした展開はサイバー脅威動向にどのような影響を及ぼすのでしょうか。本稿ではCOVID-19のワクチン開発に関連したこれまでのサイバー攻撃を振り返り、今後日本で想定される攻撃シナリオを考察します。

COVID-19ワクチンに関連したこれまでのサイバー攻撃

初めに、世界におけるCOVID-19ワクチンに関連したサイバー攻撃を振り返ります。時系列をたどると、ワクチン開発の（研究、開発、承認申請、製造、流通）各段階に応じたサイバー攻撃が発生していることが分かります（図表1）。

図表1の上から見ていきましょう。2020年5月、米国国土安全保障省（DHS）と英国国家サイバーセキュリティセンター（NCSC）が、APT（Advanced Persistent Threat）によるCOVID-19対策に関わる組織を標的としたサイバー攻撃について共同で注意喚起しました^*1。COVID-19の研究や各国のヘルスケア政策に関する情報の窃取を目的とする攻撃の可能性が高いと考えられています。

2020年10月、ワクチン開発に携わる日系製薬企業の海外現地法人がサイバー攻撃を受け、盗まれた情報の一部がダークウェブ上に公開される事態が発生したと各メディアで報道されました（ワクチンに関連した情報の流出は確認されなかった）。

2020年11月にはロシアおよび北朝鮮の関連が疑われる脅威アクターによる、カナダ、フランス、インド、韓国の大手製薬企業およびワクチン研究者を標的としたサイバー攻撃が報告されています^*2。標的の多くは開発段階に入ったワクチンの製造に携わっており、知的財産の窃取が目的と考えられます。

2020年12月にはワクチンの評価および承認を行う欧州医薬品庁（EMA）がサイバー攻撃を受け、ワクチンを開発する製薬企業から受領した文書が不正アクセスされました。その後、この攻撃で窃取されたと思われるファイルがインターネット上に公開されました^*3。

攻撃はワクチンの研究から承認段階に留まりません。同じく2020年12月、ワクチンの流通に使用されるコールドチェーン（低温物流）を標的とした世界的なフィッシングキャンペーンが報告されました。攻撃者はワクチンのサプライチェーンに参加する正規メンバー企業の幹部になりすまし、物資輸送のサプライヤーに対して、認証情報を窃取するための標的型フィッシングメールを送信しました^*4。

こうした攻撃には、国家が支援すると思われる脅威アクターの関与が疑われています。ワクチン開発競争で優位に立つことができれば自国内での感染を収束させるだけでなく、外交カードとしても活用することができるため、ワクチン関連の情報を狙う動機は十分だと言えます。

一方で、一般消費者を狙う攻撃も発生しています。マスクの無料送付を騙るショートメッセージやダークウェブにおける偽ワクチンの販売、特別定額給付金申請案内メールを装ってクレジットカード情報などを窃取するフィッシング攻撃といったケースが確認されています。また、長年ランサムウェア攻撃の格好の標的となってきた医療機関においても、コロナ禍において感染率と身代金要求額が増加しています。

図表1：COVID-19のワクチン開発に関連したサイバー攻撃

	時期	概要
1	2020年5月	米国と英国の政府機関がCOVID-19対策に関わる組織に対して、APT攻撃グループによるサイバー攻撃について共同で注意喚起を行う
2	2020年10月	日系製薬企業の海外現地法人がサイバー攻撃を受け、窃取された情報の一部がダークウェブ上に公開される
3	2020年11月	ロシアと北朝鮮の脅威アクターが、カナダ、フランス、インド、韓国の大手製薬企業およびワクチン研究者を攻撃していたことが報告される
4	2020年12月	欧州医薬品庁がサイバー攻撃を受け、ワクチン開発企業から提出された文書が窃取される
5	2020年12月	ワクチンの流通に使用されるコールドチェーンを標的とした世界的なフィッシングキャンペーンが報告される

日本を対象にした想定される攻撃シナリオ

これまで確認されているCOVID-19に関連したサイバー攻撃の傾向から、国家の支援が疑われる脅威アクターが、引き続きワクチン開発の各段階で知財の窃取や諜報を目的とした攻撃を実行することが想定されます。また、政府の施策や大衆心理を利用した一般消費者をターゲットにした攻撃も続くことが予想されます。
日本も対岸の火事ではなく、次の3つの攻撃シナリオが今後想定されます。

1. ワクチン関連の知財を標的とした攻撃

日本でも複数の製薬企業がCOVID-19ワクチンの開発を行っているため、ワクチン関連の知財を狙うサイバー攻撃の発生が想定されます。上述した欧州での事例のように、製薬企業だけでなく、関連する政府機関が狙われる可能性も考えられます。

2. 流通・接種開始により生じるアタックサーフェイスを狙った攻撃

2021年2月下旬移行にワクチンの接種が本格的に開始された場合、ワクチンの流通および接種のためのサプライチェーンには多くの企業や自治体が関わることになります。これはアタックサーフェイスが拡大することを意味し、サイバー攻撃も増加することが想定されます。

国内では、国から各自治体へのワクチンの配当量や医療機関における在庫量および接種実績などを管理するワクチン接種円滑化システム「V-SYS」が運用されています。システム自体はもちろんのこと、政府機関・地方自治体、卸業者、医療機関など利用者が多岐にわたるため、サプライチェーン全体でセキュリティ対策を強化することが重要となります。

また政府は、V-SYSとは別にマイナンバーと紐づけて接種状況を把握する新システムを構築する意向も示しています。マイナンバーのような個人識別可能情報（PII：Personally Identifiable Information）が万が一漏えいした場合、ワクチン接種行政の信頼は大きく損なわれます。そのため、他国を妨害することで自国の経済的・政策的優位性を示すことを目的とした脅威アクターがこの新システムを狙う可能性が考えられます。

3. ワクチン接種開始後の消費者向けの詐欺

COVID-19拡大以降、サイバー犯罪者たちはマスクの配布や特別定額給付金といった政府の施策をサイバー攻撃に利用してきました。ワクチン接種においても、政府や各自治体からの案内を騙るサイバー攻撃の発生が予想されます。

想定される攻撃シナリオを見通すための指標

上述した攻撃シナリオは、実社会の情勢によって蓋然性が変化します。現況および将来の蓋然性を判断する上で参考になると考えられる、今後を見通す上での指標を以下に示します。

1. ワクチン関連の知財を標的とした攻撃の見通し指標

変異種への対応など、日本の製薬企業が治験で優位性を示す
日本の製薬企業が開発したワクチンが承認および出荷される

2. 流通・接種開始により生じるアタックサーフェイスを狙った攻撃の見通し指標

日本でのワクチン接種が開始される
V-SYS利用者やサプライチェーンを構成する企業を狙う偵察活動が確認される

3. ワクチン接種開始後の消費者向け詐欺の見通し指標

ワクチンの過不足や副作用に関するデマの流布など、消費者が不安に感じる状況の発生
政府や自治体による新しい施策の発表

ワクチンの開発から接種までの一連の流れに関与する企業・組織は、上記の見通し指標に基づいて攻撃シナリオの蓋然性を評価し、攻撃が発生した場合でも自組織が影響を受けないよう、対策を実施することが推奨されます。

*1：Cybersecurity and Infrastructure Security Agency, 2020年5月. ’ Alert (AA20-126A) APT Groups Target Healthcare and Essential Services’

*2：Microsoft, 2020年11月. ‘Cyberattacks targeting health care must stop’

*3：European Medicines Agency, 2021年1月. ’Cyberattack on EMA - update 5’

*4：Cybersecurity and Infrastructure Security Agency, 2020年12月. ’ IBM Releases Report on Cyber Actors Targeting the COVID-19 Vaccine Supply Chain’

主要メンバー

村上純一

パートナー, PwCコンサルティング合同会社

Email

メディカル・ヘルスケア領域でのサイバーセキュリティ―デジタル変革期のイノベーションとどう向き合うか

7 results

2022-01-11

サイバーインテリジェンス：DXが加速する製薬業界で製造現場が直面するセキュリティ強化の難題

製薬業界はDXで企業価値や競争力を高めていますが、一方でサイバーリスクの増大にもつながっています。業界が直面している課題について解説します。

2021-08-19

「メディカル・ヘルスケア領域でのサイバーセキュリティ」デジタル・ヘルス・サービスを検討する上で考慮すべきデータコンプライアンス

個人の医療・健康データを二次利用するデジタル・ヘルス・サービスを国内で展開する上で考慮・検討すべき代表的なデータコンプライアンスについて概説します。

2021-06-15

「メディカル・ヘルスケア領域でのサイバーセキュリティ」日本国内における医療機器サイバーセキュリティ対応上の検討ポイント

医療機器のサイバーセキュリティに向けた態勢整備が本格的に求められる今後に向けて、医療機器製造販売事業者が今から取り組むべき内容を、最新の法改正の動向と共に紹介します。

2021-06-03

「メディカル・ヘルスケア領域でのサイバーセキュリティ」医療機器サイバーセキュリティに係る最新の規制動向

IMDRFガイダンスの概要と注目点、海外における関連する取り組み、各国の医療機器サイバーセキュリティの規制を紹介します。

インサイト／ニュース

20 results

2025-04-11

各国サイバーセキュリティ法令・政策動向シリーズ（5）ブラジル

各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。

2025-04-10

パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況

プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。

2025-04-08

脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―

昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。

2025-04-08

JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響

2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度（JC-STAR）の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。

セミナー

4 results

2025-05-19

Digital Trust Forum 2025

PwC Japanグループは、5月19日（月）より表題のセミナーをオンデマンド配信します。

2025-03-31

Digital Identity Forum 2025

PwC Japanグループは、2025年2月26日（水）に開催した本セミナーを、3月31日（月）よりオンデマンドで配信します。

2025-01-27

【セミナー】プライバシー保護対応におけるOneTrustの利活用

PwCコンサルティング合同会社は1月27日（月）より、表題のセミナーをオンデマンド配信します。

2024-10-29

【セミナー】サプライチェーン・デジタルリスク -サイバー攻撃やデジタル法規制に迅速に対応するレジリエントなサプライチェーンの構築-

PwCコンサルティング合同会社は10月29日（火）より、表題のセミナーをオンデマンド配信します。