| 病院へのランサムウェア攻撃 国内事例3選とセキュリティ対策を解説 | |
|---|---|
| 作成日時 24/06/19 (08:33) | View 603 |
病院が直面するサイバーセキュリティの脅威は、日々増加するばかりです。ランサムウェア攻撃という言葉を耳にしたことはあるでしょうか?この攻撃が病院に及ぼす影響は、ただ単にデータが失われること以上の重大な結果を招きます。
実際に、医療サービスの停止は生命に関わる事態を引き起こす可能性があり、その結果は計り知れないものがあります。
この記事では、なぜ病院がランサムウェア攻撃の標的になりやすいのか、具体的な事例を交えながらその背景を掘り下げます。そして、もしもの事態を想定して、どのようなセキュリティ対策を講じれば良いのか、具体的な方法を提案します。
近年、病院を標的とするランサムウェア攻撃が増加しています。この背景には、病院が保持する患者情報の極めて高い価値が挙げられるでしょう。患者情報には、個人の健康記録、住所、連絡先、保険情報などの機密データが含まれており、これらの情報は高額で取引されることがあります。
また、ランサムウェア攻撃の目的は多額の身代金です。病院のシステムは24時間体制で稼働しており、常にアクセス可能な状態でなければならないため、攻撃に対する脆弱性が生まれます。
病院のシステムが一時的にでも停止すると、救急対応や手術の遅延、治療の中断など、直接的な生命の危険に繋がる可能性があります。このような状況は、攻撃者が身代金を要求する際の「払わざるを得ない」状況を作り出しやすいです。
病院のセキュリティ体制が脆弱であることも、攻撃が増えている要因の一つです。多くの医療機関では、最先端のセキュリティ技術の導入が遅れがちであり、予算の制約やセキュリティに対する認識の低さから、必要な防御策が講じられていない場合が少なくありません。
特に中小規模の病院では、IT部門が小規模であるため、複雑なサイバー攻撃に対応するためのリソースが不足しています。
このように、病院が持つ機密情報の価値の高さ、システムの持つ緊急性、セキュリティ対策の不備などが複合的に絡み合い、ランサムウェア攻撃者にとって魅力的なターゲットとなっているのです。
病院を狙ったランサムウェア攻撃は今後も増加する可能性が高く、医療機関はこの脅威に対してより一層の警戒と対策が求められています。
病院を狙ったランサムウェア攻撃の手法と被害の具体例を見ていくことで、防御策の重要性がより明確になります。病院へのランサムウェア攻撃事例からその手法や被害状況、対応策について見ていきましょう。
徳島県のつるぎ町立半田病院は、2021年10月にランサムウェア攻撃を受けました。この攻撃により、病院の電子カルテシステムやバックアップデータが暗号化され、犯罪者集団「LockBit」は多額の身代金を要求したのです。
半田病院は当初、身代金の支払いを拒否し、東京の事業者にデータ復旧を依頼しました。この事業者は約7000万円を「調査復旧費」として受け取り、2022年1月には新しい電子カルテシステムを稼動させたのです。しかし、LockBitは病院側の関係者との交渉を経て、3万ドル(約450万円)を受け取ったとの声明を発表。
これが示すのは、間に入った事業者がLockBitと交渉をした可能性があるということです。LockBitが虚偽の主張をしている可能性がありますが、この事業者がどのようにしてデータを復旧させたのかは明確にされていません。
2022年10月31日、大阪急性期・総合医療センターは、事業者を介して行われるVPNの脆弱性を悪用され、第三者によるサイバー攻撃を受けました。この脆弱性は2021年に公表されていたものの、対応が遅れたことで、医療センターのシステムへの侵入口となったのです。
当医療センターは、900床近くを有する地域の中核病院で、HIS(Hospital Information System:医療情報システム)が幅広く業務を支えています。サイバー攻撃は、給食事業者と病院をつなぐRDP(Remote Desktop Protoco))経由で広がり、HISに侵入。その後、認証情報を盗み出し、業務サーバーにアクセスすることで、院内に感染が広がったのです。
このサイバー攻撃の結果、約2300台あるサーバーおよび端末の半数以上がランサムウェアに感染し、重要な電子カルテシステムが使用不能になりました。これにより病院は紙の診療記録に頼る事態に陥り、診療情報の共有や保管、管理などで混乱が生じました。
サーバー室のバックアップ体制も脆弱で、初期バックアップの多くがランサムウェアに感染してしまいました。確認可能な未感染のバックアップサーバーが不足していたため、全面的なデータ復旧が困難な状態でした。
この結果、病院のシステム全体の復旧には73日間を要し、その間、医療サービスに大きな支障をきたしたのです。
鹿児島県霧島市にある国分生協病院は、ランサムウェア攻撃により救急および一般外来の受け入れを制限する事態に陥りました。
攻撃は画像管理サーバーの一部データを暗号化する形で発生しましたが、個人情報の流出は確認されていません。しかし、紙カルテを用いた業務で外来診療および入院患者の対応を行うことになりました。
ランサムウェア攻撃の発覚後、病院は院内の全インターネット接続を遮断しており、再侵入の兆候は見られません。また、攻撃者からの身代金要求はなく、病院側は支払いや交渉に応じる意向はないことを示しました。
この攻撃の背景には、保守のためのネットワーク機器が外部からの認証なしに院内コンピュータに接続可能な設定になっていたこと、及び画像サーバーにウイルス対策ソフトが設定されていなかったことがあると指摘されています。
病院がランサムウェア攻撃を受けた場合、その影響は多岐にわたります。直接的な健康リスクから経済的損失、さらには患者情報の流出による信頼失墜と法的責任に至るまで、そのリスクは計り知れないものがあります。
ここからは、主な被害について見ていきましょう。
病院の情報システムがランサムウェアにより停止した場合、最も深刻な影響の一つが医療サービスの提供停止です。
これにより、救急医療の遅れ、手術や治療の延期、重要な医療情報へのアクセス障害が発生し、患者の健康が直接的に脅かされることになります。
たとえば、緊急の手術が必要な患者が適切な治療を受けられないことで、生命を落とす可能性も否定できません。
ランサムウェア攻撃者は通常、暗号化されたデータの解除と引き換えに身代金を要求します。多くの場合、身代金額は高額であり、病院が支払うとその財政に重大な影響を及ぼします。
また、身代金を支払ったとしても、データが確実に復元される保証はなく、高額なコストを支払っても元の状態に戻らない可能性が残ります。
病院が攻撃に遭うと、患者の個人情報が不正に外部に流出するリスクがあります。このような情報漏えいは、患者のプライバシー権の侵害を意味し、病院は法的な責任を問われる可能性があります。
また、患者情報がダークウェブなどで不正に取引されることにより、病院の評判に長期的なダメージを与えることがあります。これにより、患者やその家族からの信頼を失うことになり、最終的には利用者数の減少にもつながる可能性があります。
ランサムウェア攻撃への対応として、病院が取り組むべきセキュリティ対策は多岐にわたります。ここでは、効果的な技術的対策と人的対策を中心に解説します。
エンドポイントとは、コンピュータ、スマートフォン、タブレットなど、ネットワークにつながる端末のことを指します。病院では多くの機密情報や個人情報が扱われるため、これらの端末がマルウェアやハッカーの攻撃にさらされると、大きな被害が生じる可能性があります。
そこで、エンドポイント保護を強化するための対策が求められます。まずすべてのエンドポイントにセキュリティソフトウェアをインストールし、ウイルス対策やマルウェア対策を行う必要があります。
このソフトウェアは常に最新の状態に保つことが重要です。また、新たな脅威や脆弱性に対応するため、ソフトウェアのアップデートも欠かせません。
また、エンドポイントへのアクセス制限も有効な対策です。職員に割り当てられたパスワードや生体認証、スマートカードなどの認証手段を設けることで、不正アクセスを防げます。さらに、重要なデータへのアクセスは、特定の職員に限定するなど、アクセス権限の管理も大切になってきます。
ネットワークの分離では、機密性の高い医療システムやデータを、インターネットなどの外部ネットワークから切り離して運用します。
例えば、電子カルテシステムは別のネットワークセグメントに置き、一般の業務用PCとは区別するといった具合です。このように分離することで、ランサムウェアなどの脅威が侵入しても、被害がそのセグメント内に留まります。重要なシステムへの影響を最小限に抑えられるのです。
一方、ネットワーク監視では、通信状況やシステムのアクティビティを常に監視し、不審な動きを見逃さないようにします。攻撃の兆候があれば、早期に検知して適切な対処を行えます。
たとえば、異常な大量データ転送があれば、内部からの情報漏えいの可能性があります。そうした動きをいち早く把握できれば、被害の拡大を食い止められます。
バックアップとは、重要なデータを別の場所に複製して保存しておくことです。万が一、ランサムウェア感染やハードウェア障害などによりデータが失われた場合でも、バックアップからデータを復元できるので、業務を継続することができます。
病院の電子カルテや診療報酬請求データ、その他の重要な情報資産を定期的に外付けハードディスクやクラウドストレージなどにバックアップを取りましょう。バックアップの頻度は、データの重要度に応じて決める必要がありますが、1日1回は実施するのが理想的です。
また、バックアップデータ自体も守らなければなりません。ランサムウェア対策としてバックアップデータへのアクセスを制限し、不正な書き換えや削除ができないようにすることが大切です。さらに、遠隔地にバックアップデータを保管するなど、災害対策も怠ってはいけません。
セキュリティソフトウェアを導入しても、従業員がランサムウェア攻撃の入り口になることがあります。フィッシング詐欺や不審なリンク、添付ファイルに対する警戒心を高める教育を定期的に行い、セキュリティ意識を常に高めることが重要です。
従業員一人ひとりがセキュリティについて正しい知識を持ち、疑わしい行動をすぐに報告できる環境を整えることが、全体のセキュリティレベルを向上させます。
本記事を通じて、病院がランサムウェア攻撃の対象となる理由、具体的な事例、そしてそれによって引き起こされる潜在的なリスクについて詳細に解説しました。
病院はその運営の性質上、サイバー攻撃に特に脆弱であり、その影響は患者の安全に直接関わるものです。したがって、病院側ではセキュリティ対策を怠るわけにはいきません。
しかし、サイバー攻撃は日々進化しており、完璧な対策を講じることは困難です。そのため、被害を最小限に抑えるための対応も重要になってきます。
特に病院における個人情報の漏えいは重大な事態につながるため、漏えいした場合の被害拡大防止策も欠かせません。その一つの有効な手段が、ダークウェブ監視となります。
ダークウェブを定期的に監視することで、病院関連の情報の流出状況を確認できます。万一、情報の漏えいを検知した場合には、迅速な対処と被害最小化が可能です。
すでに病院の機密情報がダークウェブに流出している可能性は十分にあります。まずは、以下リンクよりダークウェブ監視ツールの無料トライアルを利用して現状を把握してみてください。
