コロナ禍で医療機関を狙い撃ちにするランサムウェア攻撃

国際

  • ブックマーク

ランサムウェア攻撃が引き金となった死亡例

 2019年7月に米南部アラバマ州のスプリングヒル医療センターで起きた事例は、ランサムウェア攻撃が引き金となった死亡例として初めて裁判で認定される可能性がある。

 臍の緒が首に絡まった状態で女の赤ちゃんが産まれ、脳に損傷が発生し、緊急治療が必要となったが、医療センターはランサムウェア攻撃を受けた直後だった。そのため、赤ちゃんの検査や治療に不可欠な心拍モニタリング装置や医療スタッフの位置把握装置などITシステムがダウンしていたのである。赤ちゃんは別の病院に移り治療を受け続けたが、2020年4月に亡くなった。

 母親は2020年1月、医療センターを相手取り、医療ミスを訴える裁判を起こした。そして娘の死亡後、起訴状の内容を修正し、サイバー攻撃によって必要な治療や検査が受けられず、我が子に障害ができ、最終的に亡くなったのだと主張した。

 起訴状によると、母親は「出産のための入院時に、医療センターのITシステムがサイバー攻撃でダウンしているとは教えてもらっていない。その事実を知っていれば、別の病院を選んで出産していた」という。また、病院が十分に対策を取っていなかったため、ランサムウェア攻撃を防げなかったとも指摘した。

 一方、病院側は、母親の主張を否定している。病院がランサムウェア攻撃後も患者を受け入れていたのは、業務を続けても安全と判断したからだという。また、主治医は、母親にランサムウェア攻撃について伝えたものの、安全に出産できると母親は信じていたと訴えた。

ランサムウェア攻撃で死亡率が増加

 イスラエルのセキュリティ企業「チェック・ポイント」によると、昨年6月から1年間で医療機関へのランサムウェアの攻撃数が159%も増えた。米国だけでも、2020年に600以上もの医療機関が被害を受け、1800万人以上の患者のデータが影響を受けたと言われる。

 ランサムウェア攻撃が厄介なのは、業務に必要不可欠なデータを暗号化し、業務継続を人質に取って、復号する鍵と引き換えに身代金支払いを要求する点にある。しかも医療機関の場合、患者の治療が中断すれば、命に関わる。

 米調査会社「ポネモン・インスティチュート」が今年9月に発表したコロナ禍における医療機関へのランサムウェア攻撃被害に関する調査結果でも、死亡率の増加が指摘されている。

 ポネモン・インスティチュートは、米医療系セキュリティ企業「センシネット」の委託を受け、コロナ禍の医療機関に勤務するITやセキュリティ担当者597人に対し、ランサムウェア攻撃が患者の治療に与える影響について聞き取り調査を行った。その結果、回答者の71%がランサムウェア攻撃の影響として、患者の入院の長期化を挙げている。また、70%が治療や検査の遅れによる病状の悪化を、22%が死亡率の増加を指摘した。

協力者を募る「LockBit 2.0」

 従来のランサムウェア攻撃の主な手口は、業務に必要不可欠なデータを使えなくし、業務継続を人質に取るものだった。

 ところがこの2年の間に主流になってきたのは、暗号化するだけでなく、期限内に身代金が支払わなければ、盗んだデータをダークウェブ上に流出させると脅す「二重の脅迫型」と呼ばれる手口だ。

 さらに2021年6月から活動が活発化しているランサムウェアの一種「LockBit 2.0」は、プリンターから身代金要求の脅迫状を大量に印刷するのが特徴だ。トレンドマイクロの調べでは、日本でも感染が確認され始めた。例えば、東北地方の食品加工会社や四国の病院も今年被害に遭っている。

 脅迫文には、「数百万ドル(数億円)稼ぎたくないか?」との文章も書かれている。内部協力者を募ってリモートデスクトップ、VPNやメールアカウントの認証情報を得ようとしているようだ。

 しかし攻撃者は、この時点で被害者のITネットワークへの侵入に既に成功しているため、この被害組織に関する追加情報が必要とは考えにくい。そのため、米セキュリティサイト「ブリーピング・コンピュータ」は、脅迫文を見た外部のITコンサルタントへの呼びかけが狙いなのではないかと見ている。

 なお、ランサムウェア攻撃者が内部協力者を募ろうとする手口は、「LockBit 2.0」が初めてではない。

 例えば、2020年8月、27歳のロシア人ハッカーは数年前に会ったことのあるテスラの米国の社員に無料通話アプリ「ワッツアップ」で連絡を取り、何度か飲みに誘った。そしてあろうことか、50万ドル(約5700万円)の報酬と引き換えに、メールの添付かUSBドライブを使って、テスラの社内ネットワークをランサムウェアで感染させるよう持ちかけたのだ。報酬の提示額は最終的に100万ドル(約1億1400万円)まで引き上げられた。

 しかし、テスラの社員が会社に報告し、テスラがFBIに通報したため、ロシア人ハッカーはあえなくロサンゼルスで御用となった。

医療機関のサイバーセキュリティ予算は3~4%

 病院では検査や治療のため様々な電子機器類を使う。最近は業務効率化のため、ネットワークに繋いでリアルタイムで情報を共有していることも少なくない。ネットワークに繋がった医療機器の市場規模は、2019年には608億3000万ドル(約7兆円)だったが、2027年には4倍以上の2607億5000万ドル(30兆円弱)にまで達すると見込まれる。

 しかし、ネットワークに繋がったシステムやそこから集まってくるデータが増えれば、それだけサイバーセキュリティの責任も増す。

 2021年11月に米サイバーセキュリティ企業「クラウドストライク」とイスラエルの医療サイバーセキュリティ・スタートアップ「メディゲート」が出した報告書によれば、過去18カ月間に医療システムの82%が何らかのIoTサイバー攻撃を受け、そのうち34%がランサムウェア攻撃だった。さらにランサムウェア攻撃の被害を受けた医療機関の33%が身代金を払っている。

 まずは、病院経営者が業務効率化のためのデジタル化だけでなく、それを支えるサイバーセキュリティも病院運営戦略の中に盛り込む必要性を認識しなければならない。

 ところが、医療機関は他の業界と比べ、サイバーセキュリティ予算が少ない傾向にある。例えば、金融機関がIT予算のうち6〜14%をサイバーセキュリティに割いているのに対し、医療機関はわずか3〜4%に過ぎない。医療機関はコロナ禍で資源が逼迫し、なかなかサイバーセキュリティ対策にまで手が回らない。そこを狙い撃ちにされているのだ。

 今後、オンライン診療などますます医療のデジタル化が進む中、サイバーセキュリティ対策は待ったなしだ。 

 日本の医療機関は、欧米に比べ規模が小さいことが多く、自前でサイバーセキュリティ担当部署はおろか、サイバーセキュリティ担当者を置くことも難しい。IT担当部門も規模が小さく、日々のITシステムの故障などの問題対処に忙殺されている。

 自前でサイバーセキュリティ担当部署を持てないのであれば、ITシステムの脆弱性診断からサイバー攻撃の監視、万が一サイバー攻撃で被害を受けた際の駆けつけ対応のサービスまで提供している企業に相談するのも手だろう。

 医療業界へのサイバー攻撃動向に詳しい専門家からの助言を受けながら、現在のリスクを把握し、対策の優先度をつけて、限りある予算を有効に分配する必要がある。

対応要領の重要性

 ランサムウェア攻撃のリスクが特に高まっている今、いざという時に速やかな業務復旧を可能にするためには、こまめなデータのバックアップとオフラインでのバックアップ・データの保存だけでなく、対応要領を定めておくことが重要だ。

 NTTセキュリティ(現NTTリミテッド)の調査では、対応要領を定めている企業は2019年時点で世界にはわずか52%しかない。

 サイバー攻撃被害らしき兆候を見つけたとき、ITやサイバーセキュリティ担当部署にどのように連絡すればよいのか、監督官庁や専門会社など組織外の誰にどのタイミングで相談すればよいのか、どのような場合にどのような形式で対外発表するのか、バックアップからデータと業務をどのように復旧するのか、などが盛り込むべきポイントとなろう。

 ランサムウェアを含め、サイバー攻撃を受けた際には、サイバーセキュリティの専門家の助けが不可欠だ。専門家が対応チームに参加すれば、攻撃の証拠を保全しつつ、被害拡大を食い止め、復旧作業を進めやすくなるだろう。

 医療現場のエッセンシャルワーカーの方々は、自らや家族の生活も犠牲にして日夜、私達の健康を守るために戦っていらっしゃる。この方々のご尽力に応えるためにも、サイバーセキュリティ強化が急がれる。

*******************

松原実穂子

NTT チーフ・サイバーセキュリティ・ストラテジスト。早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。

松原実穂子
NTT チーフ・サイバーセキュリティ・ストラテジスト。早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。

Foresight 2021年11月30日掲載

メールアドレス

利用規約を必ず確認の上、登録ボタンを押してください。