医療機関に対するランサムウェア攻撃

医療機関に対するランサムウェア攻撃が注目を集める今、この脅威から事業を守る方法について解説します。

診療所や病院に対するサイバー攻撃は、文字どおり生死に関わる問題です。2020年においては、それでなくとも世界中の医療システムがCOVID-19による多大な負荷を受ける中、サイバー攻撃が追い打ちをかける形となりました。過去1年で医療機関にとって特に大きな脅威だったものと言えば、ランサムウェア攻撃でした。サイバー犯罪者がデータを暗号化したり、盗んだデータを公開すると言って組織を脅したりして金銭を脅し取るタイプのサイバー攻撃です。

こういった攻撃の影響は、多方面に及びます。医療サービスの中断が生じるのは言うまでもありませんが、このほかにも、被害者となった医療関連組織に対して法規制上の罰金が科される、個人情報を流出された患者が訴えを起こすなど、長期的な影響が生じる可能性があります。

主なランサムウェア事例

過去1年間で特に話題になった事例として、また問題の程度の目安として参考になるのが、昨年9月に発生したランサムウェア RyukによるUniversal Health Services(UHS)に対する攻撃です(英語記事)。UHSグループは米国、英国などの国々で計400か所の医療施設を運営しています。全部の医療施設に影響が及んだのではなかったのは幸いでしたが、米国のいくつかの州にある施設が攻撃を受けました。事件が発生したのは、ある日曜日の早朝でした。会社のコンピューターが起動せず、従業員複数の元に身代金要求のメッセージが届きました。電話ネットワークも影響を受けました。IT部門は職員に、昔ながらのやり方で(つまりITを利用しないで)業務を行うように要請しなければなりませんでした。いつもの診療フローは大幅に滞り、患者への対応や検査などに影響が及びました。患者を他の病院に振り向けなければならなくなった施設もありました。

UHSの公式発表では、「不正アクセス、患者または従業員のデータの複製または不正使用があった証拠はない」と述べられています(英語記事)。同社は今年3月、この攻撃により6,700万ドル相当の損害が生じたとする報告書を発表しました。内訳は、データ復元費用、停止時間による逸失収益、患者流入の減少などです。

その一方で、腎臓疾患の検査サービスを専門とするAscend Clinicalでの事例では、77,000人以上の患者に影響するデータ流出に至りました(英語記事)。感染の原因は、ある従業員がフィッシングメールをクリックしたことでした。システムに侵入した攻撃者が盗んだのは、よりによって患者の個人情報(名前、生年月日、社会保障番号)でした。

2020年4月に発生したMagellan Healthに対する攻撃では、従業員と患者の両方の個人情報が流出しました(英語記事)。報じられるところによれば、流出対象者の数は365,000人に及びます。サイバー犯罪者は、ソーシャルエンジニアリングを通じて侵入しました。顧客になりすまして内部ネットワークへのアクセス権を取得したのです。そして、マルウェアを使ってサーバーへのログイン情報を傍受し、サーバー上のデータを手に入れた上で最終的にデータを暗号化したのでした。

医療施設に対する攻撃の場合、一般に、ワークステーションよりもサーバー上のデータが狙われる傾向があります。整形外科のFlorida Orthopedic Instituteに対する攻撃でもそうでした。攻撃者は、サーバー上にある640,000人の患者の情報を、事前に盗んだ上で暗号化しました。その結果、同施設に対して集団訴訟が起こされる事態となっています(英語記事)。

上記は、昨年ニュースになった目立った事件の一部にすぎません。似たような事例は、まだまだいくらでもあります。

医療機関のセキュリティ対策

ランサムウェアは、メールの添付ファイル、フィッシングサイトへのリンク、マルウェアに感染したWebサイトなど、さまざまな経路でシステムに侵入します。そして攻撃者は、リモートアクセス用の認証情報を、盗み出したり、ソーシャルエンジニアリングを使ってうまく聞き出したり、単純に総当たり攻撃によって割り出したりと、さまざまな方法で手に入れようとします。「病気への対策は治療より予防」と言われますが、これはサイバーセキュリティ、特にランサムウェア対策によく当てはまります。サイバーセキュリティにおける予防的対策は、以下のとおりです。

  • すべてのデバイスを保護する。「デバイス」とは、コンピューターに限りません。仕事用のスマートフォンやタブレット、各種端末、情報キオスク、医療機器のほか、会社のネットワークやインターネットにアクセス可能なあらゆる機器を保護する必要があります。
  • すべてのデバイスを最新の状態に保つ。この点も、コンピューターだけに当てはまる話ではありません。例えば、「X線撮影検査装置のサイバーセキュリティ」と言われてもぴんとこないかもしれませんが、基本的にX線装置も、脆弱性があるかもしれないOSを搭載したコンピューターです。理想的には、機器を選ぶ時点でセキュリティ面を考慮したいところです。少なくとも購入前に、機器のソフトウェアのアップデートはきちんとリリースされるのかどうか、メーカー側に確認しましょう。
  • メールを保護するセキュリティソリューションを導入する。メールの保護は極めて重要です。医療組織には、スパムメールも含めて大量のメールが届くものです。スパムメールの中には、特に害のないメールだけでなく、危険な添付ファイルの付いたメールが混ざっている可能性があります。
  • すべての従業員を対象に、サイバーセキュリティの基本についてのトレーニングを行う。管理部門の人や医師だけでなく、メールやソフトウェアなど何らかのテクノロジーを利用する人は皆、トレーニングの対象です。カルテのデジタル化やオンライン診療など、医療の電子化が進んでいます。サイバーセキュリティに対する意識は、手術のときにマスクを着用することと同じくらい当たり前のことであるべきです。
  • 最近のランサムウェア攻撃の多くは、手当り次第にランサムウェアを送りつけるのではなく、特定の標的のコンピューターやサーバーを狙う傾向にあり、ソーシャルエンジニアリングがよく使用されます。また、ネットワークに侵入した後、価値の高い情報を求めてインフラ内をじっくり探索する場合もあります。そうした攻撃を検知するにはエンドポイント保護では十分でない場合があるため、Managed Detection and Response(MDR)サービスを利用したインフラのリモート監視をお勧めします。
ヒント