東証一部の医薬品メーカーであるリニカルは2021年12月6日、複数拠点のサーバが不正アクセスを受け、個人株主や採用応募者などを含む、最大で延べ22万件の個人情報が流出した可能性があると発表した。犯行グループからデータに対する身代金を要求するメッセージが同社に届いたが、応じる予定はなく、今後も外部機関と連携し調査を続けて、全容解明や再発防止に努めるとしている。
同社の発表によると、2015年3月31日から21年6月30日の間、名簿上に記載があった個人株主の情報が約2万1000件、2009年3月31日から14年12月31日までの情報が約6万件(延べ件数)流出したとしている。
この他にも日本での採用応募者の個人情報が約1万4000件、取引先の社員の個人情報が約3万件、臨床試験の責任医師・分担医師の個人情報が約3万5000件、臨床試験のコーディネーター・協力者などの個人情報が約6万件などが流出した可能性があると説明している。
同社は、10月3日に日本本社と台湾拠点のサーバに、22日に欧州拠点で不正アクセスを受けたという。26日にはサーバ攻撃を行った犯行グループから身代金を要求する脅迫メッセージを確認。警察や調査会社と連携し、被害状況の確認を進める中、11月3日までに日本と台湾サーバから情報の窃取を示唆する痕跡を見つけたとしている。
その後も流出範囲の特定のため調査を続けたが、サーバ保存情報の暗号化やアクセスログの抹消を伴っていたため、物理的、技術的困難から調査は難航。二次被害を防ぐために、復元したサーバから流出した可能性のある情報の最大数を12月3日時点で見積もり、6日の発表に至ったと説明する。
同社によると、製薬会社などが委託した臨床試験の被験者データは、不正アクセスを受けたサーバとは別環境にあるため影響はなし。不正アクセスを受けた社内サーバも、起点となったVPN装置の脆弱性を修正し、多重認証を強化するなどセキュリティ対策を実施した上ですでに復旧済みであるという。