病院がサイバー攻撃の標的になる理由と必要なセキュリティ対策

公開日:

更新日:

サイバー攻撃対策
   

Morphisec」ライターチームです。

この記事では、医療機関に対するサイバー攻撃が度々発生しています。本記事では、実際の被害事例や医療機関が狙われる理由、セキュリティ対策における課題や対策方法を紹介しています。

目次

病院がサイバー攻撃の標的になる理由と必要なセキュリティ対策

病院がサイバー攻撃の標的となっている

医療機関における情報漏えいによる損害は年々増加傾向にあります。

米国IBM社が毎年調査、公開しているレポートによると、医療業界における損害は12年連続で他の業界と比べ最も大きいとされており、直近では1,000万ドルに達しました*1。医療は最も守られるべき業界と言っても過言ではないかもしれません。

昨今、日本においても医療を含めた重要インフラへのサイバー攻撃が度々発生しています。

要因としてはこれまでインターネットから重要インフラを隔離することでセキュリティを担保していたのに対し、近年では品質や利便性向上を目的として外部接続を行う頻度が増加したことが挙げられます。

インフラ事業者においても働き方改革やリモートワークが進むなど勤務体系が多様化する中で、今後もサイバー攻撃は増加することが予想されます。

実際に、医療機関へのサイバー攻撃は公開事例見ても近年増加していることが確認できます。おそらく、このような背景から、政府は2022年に重要インフラ事業者に対してサイバーセキュリティ対策を進めることを義務付けていると思われます*2

重要インフラ事業には14分野あり、金融や鉄道などのほかに医療も含まれています。

医療分野に対してサイバー攻撃が発生すると、被害を受けた病院や診療所に対する風評被害や個人情報の窃取だけではなく、患者への医療に遅延が発生してしまうこともあります。

ランサムウェアの発生が患者の死亡率や治療の長期化などに影響しているとする報告もあります*3

サイバー攻撃と医療への影響の因果関係を明確にすることが難しい事例もありますが、サイバー攻撃が活発に発生している今、医療に集中するためにもセキュリティ対策を実施することが必要になっていることは間違いありません。

病院への攻撃事例

2019年米国アラバマ州にある医療センターがランサムウェア攻撃の被害にあい、電子カルテなどのITシステムが利用不可になりました*4。

この攻撃により紙媒体のカルテに戻す対応に追われるなどしており、ITシステムや人員など本来の仕事を行うためのリソースが割かれることになったことが想像できます。

2021年には米国オハイオ州にある病院に対して標的型の攻撃が行われた結果、予定されていた少なくとも1週間分の手術などに対してキャンセルが必要となり、診療・手術を再開するのに多大な時間を要しました*5。

同じころドイツのデュッセルドルフにある病院もランサムウェアの攻撃にあい、受け入れ予定であった患者を別の病院に転院させることを余儀なくされました*6。

それぞれの事例で、サイバー攻撃によって患者への治療に少なくない影響があったと報道されており、我々の生活における重要なインフラである医療は脅かされていると言えます。

病院におけるセキュリティ対策の必要性、狙われる理由

病院を攻撃しないと宣言する攻撃者もいますが、攻撃の多くはターゲットを絞らず無作為に行われており、他の業界や組織が安全でないのと同じように病院がターゲットに入る可能性は高いです。

また一方で病院をサイバー攻撃の対象とする理由も攻撃者にはあります。その理由としては、個人情報が豊富であること、ITシステムが脆弱であること、ダウンタイムが許されないことがあります。

機微な個人情報を多く保持する

サイバー攻撃で狙われがちな情報としてクレジットカード情報がありますが、これは攻撃者がマーケットに売り出したり利用したりするのに必ずしも都合の良い情報ではありません。

クレジットカード情報は変更が可能であったり、購入のキャンセルを行うことができ、またその不正利用を検知するためのセキュリティ機構が実装されていたりするなど、ある程度の対処ができます。

そのため、サイバー攻撃者は盗んだクレジットカード情報を利用できずに終わる可能性があります。

一方で病院が持つ患者の個人情報、電子カルテは不変なものがほとんどです。一度、漏えいしてしまうと不変な情報として残り続け、個人に対して脅迫することも可能となります。

より詳細な個人情報で不変であるという点が攻撃者に狙われやすい要因であり、高値で取引されている事実もあります。

ダウンタイムが許容されない

攻撃者が狙うのは個人情報の漏えいとランサムウェアによる身代金請求です。その攻撃の過程で上記事例にあるように医療に必要なITシステムが利用不可能になりますが、病院としては人命が何よりも優先されるため、身代金を払いシステムの復旧を急ぐ可能性はあります。

もちろん、優先されるものが何かを検討した結果であれば正しい判断でもあります。攻撃者としても多くの患者を抱える病院の特徴を加味して身代金を得やすいだろうと少なからず期待する部分はあると思われます。

特に近年新型コロナウイルス感染症の影響などで多忙であればあるほど、病院が支払いに応じる可能性は高くなると予想されます。

脆弱なITシステムが残存する

工場の生産ラインなど多くの重要インフラに言えることですが、病院も同じくレガシーなITシステムで運用されていることが散見されます。

利用されているシステムが古く、すでに保守や拡張が困難になっているシステムであり、脆弱性が残存したまま運用されています。

基本的にはクローズド(閉域網)のネットワークで運用され続けてきたため、定期的な更新がなされていなかったというのが背景にありますが、加えて前述したダウンタイムが許容されない点も影響しています。

システムに更新を加えようとするとどうしてもダウンタイムが発生する期間があります。パッチを適用したことによりシステムに不具合が発生しないかという点にも注意が必要であり、安定稼働するまでに時間が掛かります。

脆弱性の回避策としてセキュリティシステムの増強を行いますが、既存の電子カルテとの相性の問題によりセキュリティシステムを無効にしたケースもあります*7

こうした場合、電子カルテとセキュリティシステムの間で調整を行う必要がありますが、電子カルテ側のシステム改修はやはり困難です。結果的に脆弱性を多く抱えることになり、攻撃が成立しやすい状況になります。

病院(医療機関)のセキュリティ対策の課題

医療機関のセキュリティ対策を強固にするべきなのは言うまでもありませんが、対策を進めるにあたり背景にある課題を確認してみます。

セキュリティ対策にあてる予算が不足している

セキュリティ対策にどれだけ投資できるかというのはどの業界でも課題になりますが、医療機関においてはその課題が顕著に表れているようです。

四病院団体協議会(日本病院会、日本精神科病院協会、日本医療法人協会、全日本病院協会)は昨今のサイバー攻撃の発生を背景にして、公的補助金の支給に関する緊急提言を行っています*8

当提言の中では医療機関はセキュリティ対策の重要性は理解しているものの、自助で対策を行うことは他産業と比べても困難であり、公助が不可欠であることが記載されています。

特に近年、新型コロナウイルス感染症の拡大を要因として医療機関におけるリソースや予算のひっ迫が進み、より困難な状況であることが想像されます。

セキュリティ担当者が不足

四病院団体協議会が5000以上の病院を対象に行ったアンケートでは、上述の予算不足の実態だけでなくセキュリティ担当者が不足していることも分かります*9

院内のシステム担当者は平均3名弱であり、セキュリティ業務を兼任している状況です。セキュリティに関してベンダー任せであることや、クローズドネットワークであるため対策不要としている実態も見受けられます。

セキュリティ担当者の確保に力を入れてこなかった点に関してはやはり予算不足が理由としてあるようですが、院内のセキュリティに十分に気を配れる担当者がいれば防げるインシデントもあるため、担当者の確保は重要になります。

前述したドイツの病院におけるランサムウェア被害も既知の脆弱性を狙った攻撃でありましたし、徳島県の病院で発生したサイバー攻撃も既知の脆弱性を狙ったものであったため、セキュリティに気を配りパッチの適用を行っていれば回避は可能であったと思われます。

医療業界におけるセキュリティガイドラインについて

実際にどのようなセキュリティ対策を行うべきか、その参考となるガイドライン(『医療情報システムの安全管理に関するガイドライン』)が厚生労働省から公開されています*10

当ガイドラインは20211月に第5.1版が策定されたところですが、翌年2022 3 月に改訂され、第5.2版が策定されました。

改定理由として、サイバー攻撃の多様化やクラウドサービスなどの普及に伴うリスクの顕在化が背景にあります。そのため改訂内容はマルウェアの感染を防ぐようなサイバー攻撃対策が多くを占めているようです。

ただし実際の導入すべきセキュリティシステムについては具体的には挙げられておらず、いずれの対策を行う場合も十分に検討を行う必要があると留めています。

またこれまでBYOD端末(私物端末を業務に利用する)の利用については原則禁止としていましたが、最新のガイドラインではBYOD端末の利用を否定しない記述に変更されています。病院においても働き方の多様化が進んでいることが伺えます。

当ガイドラインのほかにも、同じく厚生労働省から、医療機関がどの程度セキュリティ対策を進められているかを自身で確認するためのチェックリストが公開されています*11

まずは当チェックリストを用いて現状を把握することから始め、徐々にセキュリティ対策を行っていくと良いでしょう。

病院向けのセキュリティ対策

前述の「医療情報システムの安全管理に関するガイドライン」では、標的型攻撃メールに対する訓練の実施や各ITシステムの定期的な更新の実施などについても言及されていますが、ここでは改定のあったマルウェア対策について記載します。

ガイドライン内ではマルウェア対策として具体的な手法は記載しておらず、ふるまい検知やEDRといったキーワードに触れてはいるものの実際には業務影響などを加味した十分な検証を行うべきとされています。

この二つはマルウェアに対する方策ではありますが、基本的にはマルウェアのブロックではなく、マルウェアが実行された後の検知に重きを置いたソリューションであることに注意が必要です。

つまりマルウェアが実行されることにより少なくとも被害が発生し、医療という重要インフラにとって許容できないダウンタイムが発生する可能性があります。

そのため必要なのはマルウェアの実行をブロックするソリューションであると考えます。対策のポイントとしてはダウンタイムが発生しないことのほか、残存する脆弱性に対してカバーできることや不足するセキュリティ担当者に負荷が掛からないことが挙げられます。

当社がお勧めするのは長期のオフライン環境であっても保護能力を落とさないMorphisecという製品です。

オフラインやクローズドな環境がまだ多く存在する医療機関では、リモートアクセスやクラウドサービスの利用などの用件で外部に繋がったときにサイバー攻撃に対して無防備になります。

クローズドであるためにセキュリティを含めたITシステムに対して定期的な更新がなされないケースがありますが、Morphisecはアップデートが適用できない環境であっても保護能力を維持します。

一般的なマルウェア対策ソフトはファイルやプログラムの解析のための解析エンジンやシグネチャのアップデートを必要とするために、更新が行えない環境な場合に、保護能力が落ちることがあります。

Morphisecの保護機能はアプリケーションに与えられるメモリ構造のランダマイズであり、この手法はアップデートを必要としないため、クローズドな環境の医療機関に対してお勧めできます。

次にセキュリティ担当者への負荷という点についてですが、一般的な傾向として負荷の度合いとセキュリティの強度はトレードオフの関係にあり、セキュリティを強固にするとユーザーや担当者に対して負荷が掛かります。

この負荷には誤検知の多発や製品機能の設定の手間などいくつかの要因があり、セキュリティ機能を拡充するほどその傾向が顕著に表れます。

前述した電子カルテの安定的な動作のためにセキュリティシステムを無効にしたケースでは、おそらく誤検知の発生が原因としてあったと推察されます。誤検知の発生はダウンタイムを生み、医療に影響を及ぼす可能性があるためです。

Morphisecは使用するエージェントが軽量であるためシステムへの影響はごくわずかであり、先ほどご紹介した保護手法は、誤検知が論理的に発生しない仕組みとなっています。

チューニング作業や必要なメンテナンスが最小限であり、セキュリティ担当者への負荷も最小限にとどめ、人員を追加する必要がありません。医療に専念することのできる製品になっています。

出典 (参考文献一覧)

※1 SC Media|Healthcare data breaches cost $10.1M on average, more than any other industry(参照日:2022-10-03)
※2 日本経済新聞|サイバー対策、経営責任を明確化 政府が行動計画を改定(参照日:2022-10-01)
※3 TechTarget|How Healthcare Cyberattacks Can Impact Patient Safety, Care Delivery(参照日:2022-10-01)
※4 Healthcare IT News|Hospital ransomware attack led to infant's death, lawsuit alleges(参照日:2022-10-01)
※5 Healthcare IT News|Ohio health system forced to cancel appointments following 'targeted cyber attack'(参照日:2022-10-01)
※6 MIT Technology Review|Ransomware did not kill a German hospital patient(参照日:2022-10-01)
※7 WIRED.jp|古いWindowsのサポート終了で、医療用画像診断装置の8割超が「危険な状態」にある(参照日:2022-10-01)
※8 一般社団法人日本病院会|病院のサイバーセキュリティ対策への公的補助金の支給について (参照日:2022-10-01)
※9 一般社団法人日本病院会|四病院団体協議会 セキュリティアンケート調査結果 (参照日:2022-10-01)
※10 厚生労働省|医療情報システムの安全管理に関するガイドライン 第5.2版 (参照日:2022-10-01)
※11 厚生労働省|医療機関のサイバーセキュリティ対策チェックリスト(参照日:2022-10-01)


関連記事の一覧