急増する医療機関へのサイバー攻撃

最近病院など医療機関でのサイバー攻撃被害が急速に増えてきています。
医療機関は人命やセンシティブな情報を扱っているだけに、一般的なセキュリティインシデントよりもさらにに深刻な被害につながる恐れがあります。
なぜ今医療機関が狙われるのか、実際にどのような被害が発生しているのかを見てみます。

なぜ医療機関が狙われる？
近年医療機関がサイバー攻撃の標的として狙われる理由は大きく3つあります。

セキュリティに対する意識の欠如
攻撃対象となるのはセンター長や診療課長、医長など役職にある人が多く、高い役職であるほど対外的な知名度も高く、論文や会議などにより研究しているテーマや連絡先などを把握しやすい状況にあります。
つまり標的型メールなどで職員が開封しそうな文面を作りやすい業種であるともいえます。また、コロナによる医療機関の逼迫も、十分な確認ができないままにメールや添付ファイルを開封してしまう状況を増やす一因となった可能性もあります。

セキュリティ対策の不備、遅れ
ME機器（医療機器）の多くは機器毎に手動で設定する必要があることから、サイバーセキュリティ対策を含めた管理が接続機器全体に行き届かず、結果としてセキュリティ的に脆弱な機器や管理者が把握できていない機器がネットワークに多数接続されている状態となります。
また、そもそも単体での利用を想定した医療機器には、ネットワークに接続することを前提としたセキュリティ機能が備わっていない場合が多く、これも攻撃者からの標的となりやすい要因となっています。
さらに、日々の医療業務に追われる医療機関では施設内の職員に対するサイバーセキュリティ教育が十分に実施されている状況とは言い難く、これも攻撃者の標的となる可能性を押し上げます。

攻撃対象データの価値
患者データなどの通院歴や病歴などの情報は要配慮個人情報であり、データとしての価値も高く高額取引されていることも攻撃者に狙われる要因の一つとなっています。
特に医療機関で取り扱われている患者情報の価値は非常に高く、ダークウェブ上ではクレジットカード情報の10～20倍で取引されているともいわれています。
また、サイバー攻撃が患者の命の安全に直接影響を与える危険性があるため、ランサムウェアなどによる身代金要求などに応じざるをえない可能性が高い傾向にあります

近年の実際のセキュリティインシデント被害状況
海外での主なセキュリティインシデント事案では、2017年5月イギリスのNHS(国民保健サービス)で発生したランサムウェア（Wanna Cry）感染による関連施設全体に渡るデバイスやシステムの停止被害や、2020年10月にアメリカのERT社(eResearch Technology, Inc.)でのランサムウェア感染で、新型コロナワクチンの治験作業の遅延が発生するなど、大規模で甚大な影響を及ぼす被害が多発しています。

日本国内でもセキュリティインシデントの報告や被害事例が頻発していますが、公表されているものは氷山の一角である可能性もあります。
特に最近の被害はランサムウェアやEMOTETによる攻撃が主流となっています。

【国内】
2018年10月　奈良県　宇陀市立病院
ランサムウェア
患者データ1133人分が暗号化されアクセス不能になった。
またデータバックアップも失敗していたせいで、復旧に時間がかかった上、システムログも消去してしまっており、感染経路の特定もできなかった。

2019年5月　多摩北部医療センター
EMOTET
センター内のメールアカウントに不正アクセスされた。
また、同病院の医師名を悪用され、マルウェアを添付したなりすましメールを送られ、関連の企業に被害が拡大した。

2019年12月　独立行政法人地域医療機能推進機構群馬中央病院
EMOTET
病院職員を装った不審なメールが複数の方に送信されていることを確認したものの、現時点で個人情報の外部への漏洩は確認されていない。

2020年1月　愛知県　春日井私立リハビリテーション病院
ランサムウェア
ランサムウェアに感染し、約５万人分の患者情報が記録された電子カルテシステムが停止。また、院内のパソコンの多くも一時使用できなくなった。

2020年12月　公立大学法人福島県立医科大学附属病院
ランサムウェア
ウイルス感染が原因と見られる放射線撮影装置の不具合が発生し、再撮影が必要になった。
院内システムはインターネットから切り離された環境にあったが、すでにランサムウェアに感染していた端末を院内システムに接続してしまったことで、感染が広がったと見られる。

2021年10月　徳島県　つるぎ町立半田病院
ランサムウェア
ランサムウェアに感染したことで電子カルテシステムが使用できなくなり、2ヶ月間にわたり病院機能が一部停止した。
電子カルテシステムを操作するPCが古く、PCが遅くなってしまうという理由で、電子カルテの販売事業者からの指示でセキュリティ対策ソフトを稼働させていなかった。

2022年2月　名古屋大学医学部附属病院
ブルートフォース攻撃
(パスワードを総当たりで探って正しいパスワードを見つける攻撃手法)
教職員のメールアドレスを騙ったスパムメールが送付されていることが判明。
一時的に患者、医学部生、研究者の個人情報が閲覧される状況になった。

2022年3月　東京都済生会向島病院
EMOTET
病院職員を装った不審なメールが複数の方に送信されていることを確認したものの、現時点で個人情報の外部への漏洩は確認されていない。

2022年3月　社会福祉医療法人大雄会
EMOTET系マルウェア
法人職員間で法人に実在する部署名や実在職員名を騙ったなりすましメールの送受信を確認。調査したところEMOTET系のマルウェアの感染を確認した。

2022年3月　那須南病院
EMOTET
関係者を装ったメールが送信されていることを確認し調査したところ、事務処理用のPC1台がEMOTETに感染していることが判明。そのPCで過去にやり取りした関係者を騙った不審なメールが病院とは無関係なサーバから送られていることがわかった。

2022年3月　医療法人健昌会
EMOTET
同法人の関連している第三者を騙る複数の不審メールの発信を受け調査したところ、元々他企業からのメールを受信したことで法人内のPC1台がEMOTETに感染したことが判明。
個人情報は別システム・サーバで管理しているので感染はないとのこと。

2022年4月　大阪　青山病院
ランサムウェア
ランサムウェアに感染し、患者の電子カルテなどが一時閲覧できない状態になった。
また、院内のプリンターから英文の書かれた紙が大量に印刷されたり、PCに英語で「金を払え」という文字が表示されたりした。

2022年5月　日本赤十字秋田赤十字病院
EMOTET
病院職員を騙った第三者からの不審なメールの発信を複数確認し調査したところ、EMOTETに感染していることが判明した。

最後に
上記のほとんどの事例では簡単な注意を怠らなければ防げた可能性が高いと思われます。
日頃からEMOTETや標的型メールの事例、最近のセキュリティインシデントの危険性などを関係者で共有し十分なセキュリティ対策を施しておくこと、また施設内での定期的なセキュリティ教育や訓練をすることも重要です。
医療機関で扱う情報は攻撃者にとって特に利用価値が高く、狙われやすい、危険度が高いものであることを常に認識しておく必要があります。