医療機関での情報漏洩が示すこと

2014年8月26日

国の病院運営企業Community Health Systemsでは、先日、中国人と見られるハッカーによって約450万人分の個人情報が盗まれる情報漏洩事件が発生しました。この事件は、ネット接続型の医療機器が現実世界に実際にもたらし得るリスクを示しています。

医療

Heartbleedを悪用

今年に入って、OpenSSLのぜい弱性「Heartbleed」が明らかになりました。一時はインターネットの60%以上に影響が及んだとも言われています。Heartbleedが悪用されると、理論上、クライアントサーバー接続で一定量の情報を盗まれる可能性があります。インターネットのほぼ全体に影響するぜい弱性を犯罪者や国家機関が自らの利益のために利用するという事例が現実になり、広く報じられたのは、今回が初めてかもしれません。具体的に言うと、今回の攻撃者たちは、Heartbleedを利用してCommunity Health Systemsのログイン情報を盗むエクスプロイトを開発したのです。

影響の範囲と発生した原因

今回漏洩したのは、過去5年間にCommunity Health Systems系列の医師の診察または治療を受けた約450万人の患者の情報で、医療やお金に関連する情報は含まれていませんでした。医療関係のデータが漏洩しなかったのは幸いですが、社会保障番号は流出しており、これは明らかに憂慮すべき事態です。社会保障番号の他にも、患者の氏名、住所、生年月日の情報が盗まれ、一部では勤務先、保証人、電話番号が漏洩したケースもありました。

この事件の明るい面は、攻撃者が仕掛けたのがAPT(Advanced Persistent Threat)攻撃であったことかもしれません。彼らの狙いは、患者の社会保障番号ではなかったのではないでしょうか。セキュリティ企業Crowdstrikeのエキスパートをはじめ多くの専門家が、目的は医療システムに関連する知的財産だったと見ています。人民共和国には、高齢化が進む国民に医療を提供するために、こうした知財を利用する意図があったものと考えられます。

「APT 18」(別名「Dynamite Panda」)は、この目的を達成できませんでした。とはいえ、この膨大な量の重要情報を使って次に何をするかはわかりません。

さらに大きな問題

しかし、医療データの漏洩は長年の懸案であり、すぐに何らかの改善が見られることはないでしょう。その理由を説明します。

医療機器のセキュリティに関しては、ちょっと信じがたいような恐ろしい話が取り上げられがちです。たとえば、遠隔操作でインスリンポンプやペースメーカーをハッキングし、ラップトップから人に重傷を負わせたり、殺害したりするという話です。幸い、体内植え込み式またはネット接続型の医療機器で常に治療を受けている人が、ラップトップによって暗殺される可能性は(最近のBlack Hatのセッションでも指摘されたように)ほぼ皆無です。Rapid7の医療機器のセキュリティエキスパート、ジェイ・ラドクリフ(Jay Radcliffe)氏は、むしろこうした接続型の医療機器にはマイナス面よりもプラス面の方が圧倒的に多いと述べています。

差し当たって重要になるのは、システム的な問題のようです。増大しつつあると見受けられるこの問題は、医師、病院、さらには医療機器がデータを保存、共有、利用する方法や手段と関わっています。ラドクリフ氏が指摘したように、接続型の医療機器が個人の安全を脅かすシナリオとして最も可能性が高いのは、ハッキングかミスかにかかわらず、医療記録の改ざんや変更によって患者に不適切な治療が施されるという可能性です。

医療データの漏洩は長年の懸案であり、すぐに何らかの改善が見られることはないでしょう

心臓専門医で作家でもあるサンディープ・ガウハル(Sandeep Jauhar)医師は先日、NPRの『Fresh Air with Terry Gross』のインタビューの中で、米国の医療が他の国より遅れている主な理由は米国内での情報共有が不足していることだと示唆しました。米国の医療制度を改善し、医療保険制度改革法(Affordable Care Act)に準拠するためには、医療機器間の接続を強化し、各医療機関の連携を密にし、データへのリモートアクセスも増やす必要があると考えられます。同時に、おそらくは医療情報の漏洩も増加することでしょう。ガウハル医師の発言は米国内の話ではありますが、先進的な医療制度を導入している国でこのようなデータ共有の不足が起きており、問題を長引かせていることがほのめかされています。

とはいえ、まったく希望がないわけではありません。米国の医療保険の相互運用性と説明責任に関する法律(HIPAA)の目的の1つは、患者の医療情報の安全とプライバシーを確保することです。病院や機器メーカーは、HIPAAを遵守するためのガイドラインに従うことが義務づけられています。ただ、情報漏洩を完全に防ぐことはできませんし、どんなセキュリティプランも完ぺきではありません。どんなに努力したとしても、データ漏洩はいつか、私たちの身にふりかかってきます。

自分の情報が漏洩した場合の対処法、漏洩の有無を確認する方法

(以下は日本の読者には直接関係のない話ですが、何らかの参考にはなることでしょう。)
Community Health Systemsは、今回の攻撃で情報が漏洩した人に通知を送っているところです。そのような連絡を受けた場合は、どう対処すればいいのでしょうか?すぐにクレジット監視サービスに登録することをお勧めします。Community Health Systemsは被害に遭った人すべてにこのサービスを無料で提供予定です。漏洩についての通知書には、サービスへの登録方法も記載されています。

それ以外にも、自分でクレジットレポートを見て、自分の社会保障番号を使って与信枠からお金を引き出されていないか確認しましょう。Community Health Systemsの情報漏洩に関する通知ページには問い合わせ先も掲載されているので、不明な点がある場合はそこに連絡できます。

最後に、米連邦取引委員会(FTC)は、個人を特定する情報の盗難への対処について説明する専用のWebサイトを公開しています。個人情報盗難の心配があるときは、まずこのサイトを見てみるのがよいでしょう。