IBMのデータ侵害のコストに関する調査（2024年）によると、データ侵害の世界平均コストは今年488万米ドルに達し、2023年比で10% 増加しました。
医療業界にとって、このレポートは良いニュースと悪いニュースの両方をもたらしています。幸いなことに、データ侵害の平均コストは今年10.6%減少しました。残念なことに、データ漏えいの復旧コストが最も高いリストのトップは14年連続で医療関連（ヘルスケア）となっており、平均で977万米ドルに上りました。
ランサムウェアは、このコスト差を生み出す重要な役割を果たします。国家情報長官室のデータにあるように、ランサムウェア攻撃の数は2022年から2023年の間にほぼ倍増しました。一方、 Change Healthcareや Ascension に対して行われたような最近の大規模攻撃は、ハッカーが望むものを手に入れる上で、こうした攻撃が有効であることを示しています。
その結果は？ランサムウェアは増加の一途をたどっています。ここでは、ランサムウェアが非常にうまく機能する理由、攻撃者が何を望んでいるのか、そして過去の侵害が今後どのような傾向をもたらすのかについて、医療の組織が知っておくべきことを説明します。
ヘルスケア・データは経済的だけでなく物理的にも価値があります。
患者データを見つけて暗号化するランサムウェア攻撃を考えてみましょう。最も良いシナリオでは、患者の治療計画が一時的に遅れたり、保留されたりします。最悪の場合には、スタッフがクリティカルな患者情報にアクセスできず、命が危険にさらされます。
医療関連企業が態度を変えず支払いを拒否した場合、単に財務上および運営上の問題に直面するだけでなく、患者を危険にさらす可能性があるのです。これにより、経営幹部と患者家族の両方が、侵害されたデータを解読するのではなく、要求を満たすようITチームに圧力をかけるという、二重のプレッシャーの問題が生じます。その結果、データが復号化され、攻撃者が再度攻撃を試みないという保証がない場合であっても、医療企業は他の業種・業務の企業よりも身代金を支払う可能性が高くなります。
IBMニュースレター
AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。
ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
ヒューマンエラーやIT障害という 内部的な問題がヘルスケア攻撃の 26% と22% をそれぞれ占める一方、侵害の52% は悪意ある行為者に起因するものでした。
情報セキュリティ局と保健セクターサイバーセキュリティ調整センター（HC3）の報告によると、医療機関における主な攻撃経路には、ソーシャルエンジニアリング、フィッシング攻撃、ビジネスメール侵害（BEC）、分散型サービス拒否（DDoS）、ボットネットなどがあります。
これらの経路のいずれかを通じて侵害されると、サイバー犯罪者がランサムウェアをダウンロードしてインストールする機会が得られます。フィッシングやEメール詐欺などの攻撃の場合、組織が侵害されたことに気づくまでに、数日、数週間、場合によっては数カ月かかることもあります。
IT人員の不足も、攻撃者が医療ネットワークに侵入しやすくしています。CDWの最近の研究によると、ITセキュリティチームの人員をが十分に揃えていると答えた医療組織はわずか14%でした。半数以上がもっと人手が必要だと答え、30% が人手不足または深刻な人手不足だと答えています。このため、多くの企業は継続的なサイバーセキュリティのトリアージ状態にあり、悪意のある攻撃者から一歩 (またはそれ以上) 遅れをとることになっています。
攻撃者はあらゆるデータを暗号化して抽出しようとしているため、医療組織は重要なタスクの実行が困難になったり、規制違反のリスクにさらされたりします。
これには、治療計画、財務情報、保険の詳細、社会保障番号などの患者情報を含む電子医療記録（EMR）などが含まれます。攻撃者は、スケジュール・ツールや主要なクラウド・サービスとの接続の切断など、主要なソリューションにスタッフがアクセスするのを妨げる可能性もあります。
つまり、攻撃者は売れるものなら何でも、そして即時の行動を強制するために利用できるものなら何でも欲しがっているのです。金融会社を考えてみてください。保護された文書が侵害された場合、金融企業は金銭的損失や評判の低下を招く可能性があります。一方、医療の場合には、侵害により重傷を負ったり、場合によっては死亡に至る可能性があります。このどちらも、組織が業界での確固たる評判を取り戻すことを事実上不可能にする重大な出来事です。
ランサムウェア攻撃は、ハッカーが繰り返し成功を収めていることもあって増加傾向にあります。
例えば、2024年2月、Change Healthcareは BlackCatというグループによって編成されたランサムウェア攻撃に遭いました。Change社は、クリティカルなデータを失うリスクを冒すのではなく、攻撃者に2,200万米ドルを支払いました。最近のNPRの記事によると、この事故による同社の損失総額は15億米ドルを超える見込みです。
3ヶ月後、別のランサムウェア・グループが、10州に140の病院を持つカトリック系医療システム、Ascensionを襲いました。医療従事者は、薬の種類、投与量、潜在的な問題反応に関する情報など、患者ケアの追跡と調整に役立つクリティカルなシステムを利用できなくなりました。紙ベースの業務に戻したことで、Ascension は影響を管理することができましたが、業務プロセスは大幅に遅くなりました。
ランサムウェア攻撃の継続的な成功は、熟練した攻撃者とあまり賢くない攻撃者の双方に機会を生み出しています。コーディングの才能がある者は、独自のコードを作成してそれを既存のマルウェアツールと組み合わせることができる一方、スキルがない者は、ダークウェブのマーケットプレイスですぐに使えるランサムウェア・パッケージを購入することができます。
ランサムウェアのリスクを軽減するには、保護と検知を含む2つのアプローチが必要です。
保護には、偽装防止やEメール認証のツールの活用が含まれ、ユーザーの受信トレイに送られる可能性のある不正メッセージの数を減らすことができます。例えば、企業はフィッシング攻撃のリスクを制限するために、「緊急の行動」や「資金移動」などの特定のフレーズにフラグを立てることができます。
一方、AIと自動化ツールは、組織が攻撃を検知し、その結果として攻撃を軽減するのに必要な時間を短縮するのに役立ちます。IBMのヘルスケア担当グローバル・インダストリー・テクノロジー・リーダーであるブレンダン・フォークスによると、AIとオートメーションツールを使用した医療関連企業は、平均よりも98日早くインシデントを検知し、それを封じ込めることができました。さらに、これらのソリューションを使用している企業は、平均で約100万米ドルを節約しました。
サイバー犯罪者が、影響を受ける組織に強制的な行動を促すための運用データと患者データの価値を認識するにつれ、医療機関に対するランサムウェア攻撃は増え続けています。
ランサムウェアのリスクを完全に排除することは不可能ですが、企業はEメール保護ツールとAI検知ソリューションを組み合わせることで、主要なプロセスを自動化し、関連する患者データが侵害される前に潜在的な問題を正確に特定することで、侵害の可能性を低減できます。