ヘルスケア

ランサムウェアと医療機関:リスクはお金にとどまらない

記事をシェアする:

医療記録は現在も依然としてサイバー犯罪の攻撃のターゲットとなっていますが、サイバー犯罪者の間で、医療データを盗み出すだけでなく、病院のシステムを完全に停止させ身代金の支払いを待てば手っ取り早く金を得られるという認識が急激に広まっています。

ランサムウェアによってリスクにさらされるのはお金だけではありません。患者の安全、評判の低下、潜在的罰金にかかるコストの増加といった問題から、医療機関は、セキュリティプログラムを見直すこと、そしてランサムウェアの攻撃を防ぐための必要な投資を行うことを余儀なくされています。

しかし、予算不足が原因で、きわめて重要なITシステムでの保護や予防や緊急対応の計画は、物理的な医療上の緊急事態の発生に備えた計画と大差ないものとなっています。

攻撃される医療データ

保健社会福祉省公民権局のジョスリン・サミュエルズ局長は、ある声明文において、こう述べています。「健康情報のプライバシーを脅かす現在最大の脅威の1つが、ランサムウェア等の手段による電子健康情報システムに対する悪意あるサイバー攻撃に起因する、データの完全性と可用性の深刻な低下です。」

サイバー犯罪者に身代金を支払ったとしても、必ずしも情報を取り戻せる保証はないため、予防と保護は不可欠です。Dark Readingの報告によると、身代金を支払ってもファイルを削除してしまうランサムウェアの亜種が研究者により発見されています。

医療業界は現在も引き続き、セキュリティリスクの大きな変動にさらされています。その要因となっているのが、急速なデジタル化、患者からの期待の変化、「医療保険の携行性と責任に関する法律 (HIPPA)」による規制準拠圧力、そして予算の制約です。

数字は嘘をつかない

医療機関におけるセキュリティ侵害を数字で見てみると、被害にあった記録の数において、医療分野は上位10分野の1つに過ぎなかったのですが、ついに全体の1位となりました。この被害の大きさは裏を返せば、サイバー犯罪者にとっての見返りの大きさの証であると、IBM X-Forceの「2016 サイバー・セキュリティー・インテリジェンスの指標」において指摘されています。盗まれた1つの医療記録が、盗難したクレジットカード1枚の10倍の価値があることを考えると、医療機関が主たる標的になっている理由は明らかです。

X-Forceが行った調査によると、医療記録の窃盗はこの1年間で1,100パーセントも増加しており、世界全体で1億件の記録が被害にあっています。言い換えると、3人の1人の医療記録が2015年に被害に遭ったということです。

しかも、KPMGの調査で判明したように、医療機関のセキュリティへの出費は、他業種の10分の1に過ぎない場合もあります。技術スタッフが限られており、医者や患者にとってアクセスが容易であることが求められ、さらに医療インフラの性質上、複数のベンダーからのコンポーネントを統合する必要があるため、医療用システムは、サイバー犯罪の格好の標的となっているのです。

ランサムウェアと医療機関:危険な組合せ

医療記録には、高額で取引可能な高度な個人健康情報 (PHI) が含まれていますが、サイバー犯罪者は、ランサムウェアを使う方が手っ取り早く金を手にすることができると気付き始めています。入手して販売できる状態にするまで時間がかかる医療記録の窃盗と異なり、ランサムウェアは、医療機関を重要なシステムから締め出し、支払いか何らかの行動を即座にとるように要求します。

ランサムウェアが使われるようになって10年以上が過ぎていますが、医療分野を標的とした使用が大幅に伸びているのは、医師たちが、スケジューリング、検査結果、処方オーダーといった重要性の高いリアルタイムの患者データに大幅に依存しているからです。

電子化された患者データにアクセスできなければ、多くの病院やクリニックは、身動きがとれなくなってしまいます。他の業界ではデータへのアクセスにおいてそれほど時間は重要ではありませんが、医療機関では、患者のデータから締め出されてしまうことは、命に関わる可能性もあります。データの重要性が高く、サイバーセキュリティプログラムが限られていることから、医療分野はランサムウェアの主たる標的となっていますが、このリスクは今後も増えると予想されます。

IBMインシデントレスポンスサービスの「ランサムウェア対応ガイド」の完全版をダウンロードする

一般的な手口

ランサムウェアによる攻撃の際に、サイバー犯罪者は、どんな手法で医療機関のインフラを攻撃して、データを暗号化し、それからアクセス回復と交換に身代金を要求するのでしょうか?

一般的に媒介となるのは、悪意のあるEメールの添付ファイルです。中でも特に多いのが、Word文書、Adobe関連ファイル、アーカイブ、JavaScriptです。他にも、ブービートラップを仕掛けたウェブサイトへのリンク、改ざんされたウェブサイト、悪意のあるウェブ広告、ソーシャルネットワーキングの投稿内のマルウェアへのリンク、Microsoft Office やAdobe Reader やFlashのパッチ未適用バージョンといった手段があります。

IBM X-Forceのデータによると、2015年には公表された脆弱性全体のうち28%が、ウェブアプリケーションをターゲットにしていました。組織が一度感染すると、データが暗号化され、サイバー犯罪者が、暗号化解除キーと引き換えに追跡不可能なビットコインを要求できるようになります。

増加するランサムウェア

ではなぜ、医療業界ではランサムウェアによる攻撃が増加し続けているのでしょうか?ケント大学による最近の調査では、このタイプのマルウェアによる攻撃を受けた回答者の41%が身代金を支払っていました。しかし身代金を支払うたびに、将来の攻撃を企てる犯罪者たちに、同じ行為をするモチベーションを与えることになります。ランサムウェアは、医療記録を盗むことに比べると時間も労力も少なくて済むため、サイバー犯罪者にとっては費用便益比が有利になるのです。

2016年にはすでに少なくとも8つの医療機関が被害に遭っていますが、この数字は、メディアに被害を発表した病院の一部に過ぎません。CryptoLocker型のランサムウェアだけでもわずか6ヵ月で、データを人質にとった医療機関から2,700万ドルを獲得することに成功しています。

FBIも、ランサムウェアの被害が増加中であると報告しています。最大の問題の1つが、単に身代金を支払うだけでは、必ずしも問題を解決できない点です。身代金を支払ったにも関わらず、サイバー犯罪者が再度やって来てさらなる支払いを求めたため、大きな失望を感じた医療機関もありました。

そして以前の報告よりも問題はさらに悪化しています。ロイター通信も「医療情報トラスト・アライアンス(Health Information Trust Alliance)が昨年末に米国内の約30の中規模医療機関を対象に行った調査において、52%が、(ランサムウェア攻撃の媒介となる)悪意のあるソフトウェアに感染したことがあると回答した」と発表しています。

予防と保護

標準的なランサムウェアのプロセスは、感染と実行と支払いという共通する3つのステップで進行します。

身代金の支払いはオプションの1つですが、そもそも攻撃をさせない方が、特に支払いの有無に関係なくデータを削除する新種のランサムウェアの場合は、はるかに得策です。

そこで重要なのが、予防です。そして効果的な予防保護戦略を実行するには、以下の対策をとるべきです。

・リスクに関するユーザー教育を行う。
・継続的にデータバックアップを実施する。
・実行可能な添付ファイルをブロックする。
・システムは常にパッチを適用した状態にする(特に、医療分野で一般的なJ-Bossウェブサーバーの場合)。
・アンチウィルスソリューションを常に最新の状態に保つ。

IBM X-Forceのインシデントレスポンスサービスの白書「ランサムウェア対応ガイド」では、他にも予防と封じ込めのための手段を記載しています。

ユーザー教育、準備への投資、重要なセキュリティ管理方法や慣行の実践は、侵害の試みを防ぐことを保証するものではありませんが、あなたの組織、患者、そしてスタッフを標的にしようとする犯罪者たちにとっては、攻撃をはるかに困難にするのです。

(出典:Security Intelligence より訳出 “Ransomware and Health Care: There’s More at Risk Than Just Money” BY マイケル・アッシュ 2016年8月8日)


⇒ランサムウェアについて知るべき事項

サイバー犯罪者たちはどのようにして、ユーザー・データを人質にとるか
More stories
2016-09-09

ランサムウェアと医療機関:リスクはお金にとどまらない

医療記録は現在も依然としてサイバー犯罪の攻撃のターゲットとなっていますが、サイバー犯罪者の間で、医療データを盗 […]

さらに読む

2015-08-20

医療データのセキュリティー侵害にどう対応するか

「Breach Level Index」にまとめられたデータによれば、2015年前半、医療機関は他のどの業界よ […]

さらに読む