本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています。
※本記事は、掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。記事下の最終更新日をご参考ください
医療従事者が日々直面する衝撃的なサイバー脅威 – その理由と影響
ミキサーの中で砂利の音を聞いている方が、あなたの会社が常にセキュリティ侵害の危険にさらされていることを知るよりも安らかかもしれません。
そして、それはあなたの医療機関だけの問題ではありません。
患者データ、医療記録、タイムリーな請求、保険処理など、命に関わることを想像してみてください。
実際、1回のサイバー攻撃で死亡率は20%上昇します。
2021年にアラバマ州で、ランサムウェア攻撃によって病院のコンピューターが遠隔操作され、乳児が命を落としました。
残念ながら、ランサムウェアによる攻撃は日常茶飯事です。
昨年、医療業界では249件のランサムウェア攻撃をFBIに報告しました。
最近のAscensionとChange Healthcareの事件も、医療提供者が日々直面していることを痛感させるものです。
「患者の命が危険にさらされているのです」 とアセンション病院の看護師は言いました。
「看護師は5、6人の患者を受け持ち、この紙カルテの処理に追われているのです」
オフラインのシステムで、多くの安全ガードレールが使えなくなっているのを目の当たりにするのは恐ろしいことです。
予防措置は役に立たず、何年にもわたる苦悩と訴訟の脅威が迫っています。
病院は日々、サイバー脅威に直面している。それぞれが深刻な結果をもたらす
宿敵は様々な形をとる。そして、ハッカーの多形性は多面的なリスクをもたらします。
ランサムウェアの攻撃は人命を危険にさらす
ロサンゼルス郡保健局がこのような攻撃の被害に遭い、重要な患者の記録が凍結され、医療が中断されました。
フィッシング詐欺、病院職員を騙して機密情報を漏らす
バーモント大学ヘルスネットワークでは、数千件の医療記録が漏洩した。その結果、患者は個人情報の盗難や金銭詐欺に巻き込まれました。
大規模なデータ漏洩により、膨大な量の患者データが流出
ピッツバーグ大学医療センターでは情報漏洩が発生し、36,000件以上の患者記録が流出しました。
患者はプライバシー侵害や個人情報の悪用のリスクに直面し、長期的なセキュリティ上の懸念が生じました。
分散型サービス拒否(DDoS)攻撃は、深刻なサービス停止を引き起こす
ボストン小児病院は、大規模なDDoS攻撃を受け、オンライン・サービスを麻痺させ、患者の治療を遅らせました。
脅威が内部からもたらされることも
メイヨークリニックの従業員が患者情報にアクセスし、無許可の第三者に販売したことで、深刻な背信行為が発生しました。
このような脅威は単に業務を混乱させるだけではありません。
生命を危険にさらすのです。
医療におけるサイバーセキュリティは単なるITの問題ではなく、生死に関わる問題なのです。
なぜハッカーは医療機関を標的にするのだろうか
それは、システム、攻撃から立ち直るのにかかる時間、盗まれたデータに付随する報酬などの理由からです。
しかし、これはほんの一瞥に過ぎません。
ハッカーにとってのチャンスは奥深いのです。
財務データと個人データが非常に有用
ワシントン大学のGeetha Thamilarasu准教授は、盗まれた医療記録は偽の処方箋、偽の保険金請求、個人情報の盗難、オンライン販売につながると強調しました。
ダークウェブでは、漏洩した医療記録は400ドルから500ドル、時には1000ドルで取引されることもあります。
病院はランサムウェア攻撃に対する強固な防御を構築するには至っていない
例えば、2021年から2022年にかけて、米国の医療機関に対するランサムウェア攻撃は94%増加しました。
ハッカーはこうした攻撃で重要なシステムを暗号化し、復号化キーに対して多額の身代金を要求します。
多くの医療施設は時代遅れのITインフラとソフトウェアで運営されている
レガシーシステムは最新のセキュリティ機能を備えていないことが多く、このような古いシステムを維持することは困難であり、コストもかかります。
例えば、バーモント大学医療センターでは、電子メールによるフィッシング攻撃により、外科手術のキャンセル、がん患者の治療の遅延、マンモグラフィの予約の妨げなどが発生しました。
注目される情報漏洩はハッカーの信頼を高める
2023年のメディバンクの情報流出事件では、約970万人の顧客の個人情報と医療データが流出しました。
メディバンクが侵害されれば、他の機関も危険にさらされる。医療機関には悪用されるのを待っている深刻な根本的セキュリティ脆弱性があることをハッカーに知らせる合図となります。
規制遵守への対応の遅れ
医療提供者は、個人健康情報(PHI)の保護を義務付けるHIPAA(Health Insurance Portability and Accountability Act)を遵守しなければなりません。
これらの規制を遵守しなければならないというプレッシャーは、特に小規模な医療機関ではリソースを圧迫する可能性があります。
特に小規模な医療施設では、サイバーセキュリティ対策を実施するために必要な資金や専門知識が不足している可能性があります。
ハッカーはそれを知っています。
医療スタッフはサイバー攻撃に対処する準備ができていない
当然のことですが、医療スタッフにとって最優先なのは、患者への対応です。
相互接続された機器、ネットワーク・エンティティ、防御システムの複雑さを把握する能力がないかもしれません。
セキュリティ・トレーニングは後回しにされがちです。
攻撃者にとって複数の侵入口
医療機器の革新は恩恵となりますが、これらの技術を構築する際のサイバーセキュリティ対策の欠如は災いとなります。
植え込み型除細動器、インスリンポンプ、X線ビームなどの機器は、医療施設では日常的に使用され、ネットワーク経由でアクセスできます。
しかし、最低限のセキュリティしかないため、脅威行為者がサーバー攻撃を仕掛けたり、ネットワーク資産を麻痺させたりするための複数の侵入口となってしまいます。
医療データの共有フレームワークが攻撃者をおびき寄せる
相互接続された機器は、システム、場所、組織、サードパーティ・パートナーにまたがってデータを送信・収集します。
このネットワークは、医療機器がタイムリーなライフサイクル管理サービスやソフトウェアサポートを受けられなければ、ハッカーの攻撃対象範囲を広げることになってしまいます。
では、どうすればいいのでしょうか?
どうすれば侵害を防ぐことができるのでしょうか?
サイバー犯罪者を足止めするために、複数の防御層を用意する
外部および内部からの脅威のリスクに常にさらされていると想定します。
「医療機関のセキュリティを強化する一つの方法は、マイクロセグメンテーション・ソリューションの活用です。マイクロセグメンテーション・ソリューションは、ネットワークを異なるゾーンに分離し、各セグメントにセキュリティ制御を適用することで、サイバー犯罪者が組織全体のシステムに侵入するのを防ぎます」
と、ColorTokensの戦略顧問であるChuck Suitor氏は述べています。
そのため、ハッカーがネットワークの一部に侵入できたとしても、システムやデータの奥深くまで入り込んで攻撃を実行することはできません。
ColorTokens社のフィールドCTOであるVenky Raju氏は、彼の投稿の中で、敵は常にネットワークに侵入し、環境を把握し、潜在的な弱点を見つけるために動き回ろうとしていることを強調しています。
多要素認証(MFA)やエンドポイント検出・応答(EDR)ツールは、こうした試みのほとんどを検出することができますが、万全ではありません。
Venky Raju氏は次のように勧めています。
「マイクロセグメンテーションは、横の動きの広がりを制限し、敵対者を少数の侵害されたシステムに封じ込めるための、唯一証明された技術です」
病院が抱える深刻な問題の解決は手の届くところにある
病院は基本的なセキュリティハイジーンテストに失敗することが多く、恐喝の格好の標的となっています。
ランサムウェアの支払いに積極的なのは、ダウンタイムがほとんどないためです。
しかし、暗いことばかりではありません。
ColorTokens Xshieldが、マイクロセグメンテーションの大規模な実装を支援し、具体的な結果を出す方法について、ぜひColorTokens(カラートークンズ)公式サイトからお問い合わせください。
翻訳元記事
「Shocking Cyber Threats Healthcare Providers Face Daily – Reasons and Impact」
最終更新日:2025/2/24
著者:Tanuj Mitra
この記事の著者:電巧社セキュリティブログ編集部
