昨今、世界中で医療機関を狙うサイバー攻撃が増加の一途をたどっている。今年1月に、大阪急性期・総合医療センターがサイバー攻撃を受けて、診療のほとんどを停止したことは記憶に新しい。

医療機関では電子カルテシステムなどITシステムの導入が進んでいるうえ、医療機関が抱える患者のデータは非常にセンシティブであり、漏洩した場合の影響が大きい。

今後、医療機関にまつわるサイバー攻撃の脅威が収まることはないだろう。医療機関がサイバー攻撃を回避するには、どのような対策を講じるべきなのだろうか。

今回、パロアルトネットワークスのField CSOの林薫氏とシニアSEマネージャーの本間庸之氏に、医療機関のサイバーセキュリティについて聞いた。

人命救助の最前線・医療業界を狙うサイバー攻撃者

同社が対応支援したセキュリティインシデントを業界別に見ると、トップは金融で、医療は第4位につけている。脅威別では、ランサムウェアがトップで、以下、ビジネスメール詐欺、ネットワーク侵入と続いている。ランサムウェアの脅威はあちらこちらで語られているが、実際の被害も多いようだ。

ランサムウェアの被害は年間1500億円以上に上るが、重要インフラ14分野のランサムウェアの被害のうち、医療業界が占める割合は25%と最も多いという。

林氏は、「医療機関は命に対応しなければならないので、ランサムウェアの攻撃者に対し、お金を払ってしまう。盗まれたデータの公開状況を見ると医療系が多く、重要インフラの中でも盗まれやすい業界となっている」と指摘する。

一部のランサムウェアグループは特定の業種を狙うが、医療業界を狙う「Hive」のインフラが2023年1月、FBIによってテイクダウンされた。ただし、攻撃者が逮捕されていないことから、「Hiveの活動はいったん落ち着くと見られるが、攻撃グループは再び、インフラを構築するかもしれない」との見方を林氏は示した。

脆弱性を多く抱える医療機器が危ない

このようにランサムウェア攻撃が増えている背景には、サイバー犯罪の分業化がある。ランサムウェアを使った攻撃が行えるSaaSとして、RaaS (Ransomware as a Service)の利用が広がっている。

林氏はサイバー犯罪のサービスにおけるトレンドとして、偵察と侵入を担当する「初期アクセスブローカー」を挙げた。このサービスを利用すると、サイバー攻撃に必要な手順のうち、侵入までの作業を省くことができる。つまり、確実に侵入して攻撃することが可能になる。こうしたサービスが成り立つのは、「攻撃が成功して、お金が回る市場だから」と、林氏は語る。

  • 「RaaS」、「初期アクセスブローカー」など、サイバー犯罪が分業化し、サービスとして提供されている

また林氏によると、医療業界のサイバー攻撃において、最も狙われている対象がRDPサーバだという。その割は66.9%と7割弱に及ぶ。RDPサーバは遠隔診療を行う際に用いるリモートデスクトップツールで用いられるものだ。

もう一つ、サイバー攻撃を引き起こす大きな要因に脆弱性がある。大きく報道されている情報漏洩事件もシステムの脆弱性を狙われたことが原因のものが大半だ。

林氏は「報告される脆弱性は年々増加しており、10年前の約5倍となっている。さらに、ベンダーによるパッチの提供がない、ユーザーによるソフトウェア更新ができないなどの理由から、IoT機器はパッチの適用が難しい」と述べた。

例えば、同社の調査では、医療現場で使われている画像システムの83%がサポート切れのOSで稼働していることがわかっている。加えて、調査を行った輸液ポンプの75%に脆弱性が存在していたという。

林氏は、医療機関が持つべきセキュリティ対策方針について、「これまでは攻撃者の侵入を防ぐことに注力しすぎていた。これからは、攻撃活動の早期発見が重要」と指摘する。