Intuitive Surgicalがフィッシング攻撃による情報漏洩を開示、Medtronic Diabetesは81人を削減

Intuitive Surgical (Nasdaq: ISRG) は、フィッシング攻撃に起因するサイバーセキュリティインシデントにより、権限のない第三者が特定の社内ITビジネスアプリケーションにアクセスしたと発表した。同社は直ちにインシデント対応プロトコルを起動し、影響を受けたすべてのアプリケーションを保護した。

ISRGの株価は午後の取引で1.3%下落し、1株あたり472.95ドルとなった。同社は、このインシデントは現時点で業務に影響を与えておらず、ロボットシステムには独自のセキュリティプロトコルがあり、社内ビジネスネットワークとは独立して動作していると述べた。

アクセスされた情報は、従業員の侵害されたアクセス権を通じて社内ビジネス管理ネットワークから取得された。これには、一部の顧客のビジネス情報・連絡先情報、およびIntuitive従業員と企業データが含まれる。同社は、このデータは主力のda Vinci手術ロボットシステムやIon内腔システムから取得されたものではないと述べた。これらの機器は安全で稼働可能な状態を維持している。

Intuitiveは、セグメント化されたネットワークインフラストラクチャを有していると述べた。社内ITビジネスアプリケーション、製造業務、およびda Vinci、Ion、その他のデジタルシステムをサポートするネットワークとインフラストラクチャは分離されている。病院顧客のネットワークもIntuitiveのネットワークとは分離されており、顧客のITチームによって保護・管理されている。その結果、Intuitiveはこれらのネットワークも影響を受けていないと述べた。

関与したデータには、医療提供者および管理者の氏名、肩書き、専門分野、さらに電子メール、電話番号、病院施設の住所が含まれていた。流出したデータには、da VinciおよびIonの処置タイプと時間、Intuitiveの学習コース修了状況、Intuitiveのフィールドサービスエンジニアに報告された苦情、イベント参加、メンタリング、プロクタリングなどの医療従事者エンゲージメント活動、および償還プログラム影響文書(Quantify the Impactとしても知られる)も含まれていた。

医療機関については、情報漏洩で流出したデータには、2026年1月18日時点の商業契約データ抽出、自動ビジネスアライメント会議(ABAM)レポート、およびサービス作業指示書が含まれていた。このデータには「銀行口座情報、識別可能な患者の健康情報、または顧客や従業員のパスワードなどの高度に機密性の高い情報は含まれていない」という。

Intuitiveのサイバーセキュリティインシデントは、イラン支援の「ハクティビスト」グループがStrykerに対して「ワイパー攻撃」を実行し、StrykerのMicrosoftベースのITシステム上のデータを標的にして事実上消去し、復旧不可能にした事件のわずか数日後に発生した。同グループは、2026年2月28日に始まったイランに対する米国とイスラエルの攻撃への対応として、このサイバー攻撃を実行したと述べた。現時点では、Intuitiveでの情報漏洩がStrykerのサイバー攻撃と関連しているか、または同様の理由で実行されたという兆候はない。

同社は、インシデントの評価と封じ込め、調査の開始、セキュリティプロトコルの見直しのために直ちに行動を起こしたと述べた。また、従業員にオンラインセキュリティトレーニングとプロセスを再確認させた。同社は、顧客および適切なデータプライバシー規制当局との連絡を継続していると述べた。Intuitiveは「法執行機関およびその他の当局」に通知した。

別の動きとして、Medtronic (NYSE:MDT) は、MiniMedへの分離計画を前に、Diabetes部門から81人の雇用を削減している。カリフォルニア州に提出された労働者調整・再訓練通知(WARN)により、同社がNorthridge施設で81人の従業員を削減する計画が確認された。

通知によると、Medtronicは2026年2月5日に州に対して計画的な人員削減を通知した。削減は2026年4月7日に発効する予定だ。この削減は、MedtronicがDiabetes事業をMiniMedという上場企業として分離しようとしている中で行われる。