医療機関へのサイバー攻撃最新事例3選!医療機関が狙われる理由や必要なセキュリティ対策を解説
サイバー攻撃の脅威はあらゆる業界に及んでおり、医療機関も例外ではありません。医療機関がサイバー攻撃を受けると、患者の個人情報流出や診療停止など重大な被害が発生する可能性があります。医療機関の機能が停止すれば患者の命にもかかわるので、十分なセキュリティ対策が求められます。
そこで今回の記事では、医療機関へのサイバー攻撃の事例とともに狙われる理由や必要な対策を解説します。サイバー攻撃に備えてやるべきことが分かる内容となっているので、セキュリティ対策に不安をお持ちの医療関係者の方は、ぜひ参考にしてみてください。
サイバー攻撃に対する病院の実状
近年、医療機関に対するサイバー攻撃が増加しています。サイバー攻撃に対して十分なセキュリティ対策ができていない医療機関は多く、診療停止や情報漏えいなどの被害を受けた事例が複数あります。サイバー攻撃に対する医療機関の実状を知り、医療機関におけるセキュリティ対策の課題を把握しておきましょう。
セキュリティトラブルの経験
当社が行った調査によると、セキュリティトラブルを経験したことがある中小規模の医療機関は34%に上ります。具体的には、以下のような事例があります。
・メールの誤送信
・職員による不正なWebサイトへのアクセス
・なりすましメール
・院内サーバー・端末のウイルス感染
・院内システムへの不正ログイン
・個人情報の流出
・ホームページの改ざん・乗っ取り
なりすましメールや不正なWebサイトへのアクセスが切り口となり、端末の感染や個人情報の流出など甚大な被害を及ぼすサイバー攻撃を受けています。またサイバー攻撃を受けた結果、診療停止や患者情報の流出にまで及んだケースもあります。
またセキュリティトラブル発生時に外部の専門機関に頼る病院は少なく、自院で対応しているケースが多いです。原因の特定や業務フローの変更など、セキュリティトラブルへの対策を外部に委託して対処した病院はわずか9%に留まっています。
情報端末の管理ルールの徹底不足
パソコンやタブレットなど情報端末の管理において、明確にルールを文書化していないケースがみられます。ルールを明確にしていない医療機関では、管理されていない外部媒体の利用や自由なソフトウェアのインストールなどセキュリティリスクにつながる行動を許している状況です。
さらに、近年は医療機関においてもクラウドサービスやSaaSアプリケーションの利用率が高くなっています。電子カルテや医事会計など院内のシステムとインターネットが接続されている場合は、外部からの攻撃を受けやすいです。ほかにも「デスクにID・パスワードを付箋で貼り付けている」「セキュアでないネットワークに接続して業務を行っている」など、セキュリティ対策が危うい医療機関があります。
サイバーセキュリティ対策の投資額不足
サイバーセキュリティ対策の平均投資額は「分からない」という回答を含め、9割の医療機関が月間の投資額は10万円以下と回答しています。その中で、2%の医療機関はセキュリティ対策に投資していません。この結果から、保持している個人情報に対して十分なセキュリティ対策の予算を確保できていないことが分かります。
高度なセキュリティ環境を構築する人材の不足
情報システム専任の人材を確保できている医療機関は少数で、専門の組織はなく他の業務との兼務もしくは各自で対応しているケースが多いです。セキュリティ対策は専門部署・担当者を設置するのが望ましいですが、実現できている医療機関はわずか32%に留まっています。サイバー攻撃に対する恐怖は感じているものの、十分なセキュリティ対策ができている医療機関は少ない状況です。
セキュリティ対策の課題
ITの進化により、私たちの生活は飛躍的に便利になりました。しかし、その一方で、悪意ある攻撃を受けるリスクも高まっています。セキュリティ対策が必要不可欠となっている今、どのような対策を講じれば良いのか、また何から始めれば良いのか悩んでいる方も多いのではないでしょうか。
そんな悩みを解決するために、IT withではセキュリティ診断を通じて対処すべき課題を特定し、適切な対策を提供しています。具体的なセキュリティ対策について知りたい方は、ぜひ以下から詳細をご覧ください。
医療機関に対するサイバー攻撃の最新事例3選
この章では、実際にあった医療機関へのサイバー攻撃の手口と被害内容を紹介します。具体的な被害状況を知り、医療機関や利用している患者にどのような影響があるかを理解しておきましょう。
ランサムウェア攻撃
徳島県の医療機関で、ランサムウェア「Lockbit 2.0」 によるシステムへの侵入被害が発生しました。電子カルテや院内ネットワークが使用不能となり、会計システムを使用していたため診察費の請求もできなくなりました。一部の診療科を除く新規患者の受け入れ中止を余儀なくされ、復旧までに2ヶ月もの時間を要して医療機関運営に大きな被害をもたらした事例です。
本事例は院内の複数のプリンターが勝手に動き出し、英語で書かれた文章が紙がなくなるまで出力されたことから始まりました。不審に思いながらも、この時サイバー攻撃と気づく職員はおらず、コンピューターの不具合だと認識していたそうです。
その後、医師から電子カルテの異常を報告され、システム担当者がサーバーやネットワークをチェックした結果サイバー攻撃を受けていることに気付きました。本事例では、サイバー攻撃に対する知識の欠如と医療機関内のネットワーク構築に問題があると考えられています。
ちなみに、ランサムウェアは身代金要求型のマルウェアで、データを暗号化して利用者がアクセスできない状態にし、解放するための身代金を要求する特徴があります。ランサムウェアについて詳しく知りたい方は、ぜひ以下のリンクから詳細をご覧ください。
関連記事:ランサムウェア被害を未然に防ぐ:中小企業のためのガイドライン
サプライチェーン攻撃
大阪府の医療センターで発生したランサムウェア感染被害は、外部の関連業者のデータセンターを経由して侵入するサプライチェーン攻撃によって引き起こされました。サプライチェーン攻撃は、セキュリティ対策が手薄な中小企業が狙われやすいのが特徴です。調査の結果、給食委託業者のネットワークセキュリティー機器が古いバージョンのまま使用されていたことが判明しました。
ランサムウェアがデータを暗号化できる範囲は、感染したコンピューターが直接アクセスできる部分に限定されるのが一般的です。しかし本事例では、アクセス権限のない電子カルテシステムを含む基幹システムやそのバックアップのデータにまで及んでいます。
院内の約半数のサーバー・端末が感染し、すべてのシステム復旧までに73日もの期間を要しました。脆弱性が判明しているVPNを放置していたことに加え、接続している端末のセキュリティが初期設定の状態だったことや、アカウントロックが未対応など初歩的なミスが被害を受けた原因とされています。
フィッシング攻撃
岡山県の大学病院において、フィッシング詐欺による患者情報漏えいが発生しています。同院の医師が個人利用していたクラウドサービスのIDとパスワードがフィッシング詐欺で窃取され、アカウントに紐づけられたクラウド上の保存データにアクセスできなくなりました。その際、医療情報システムへの不正アクセスは確認されていません。
しかし当該クラウドサーバーには、治療経過確認のための資料として集めた延べ269人の個人情報を含む医療情報の記録ファイルが保存されており、攻撃者に閲覧可能な状態になってしまいました。本事例の問題点は、個人のクラウドサービスを業務利用していた点です。職員のITリテラシーの低さが招いた事案と言えます。
医療機関がサイバー攻撃のターゲットになる3つの理由
医療機関が攻撃のターゲットになる理由は、以下のようなことが考えられます。
・価値のある個人情報が豊富
・システムの老朽化が進んでいる
・要求に応じる可能性が高い
医療機関の特性やセキュリティ対策の状況から考えると、今後も医療機関が攻撃者から狙われる可能性は高いでしょう。サイバー攻撃を受ける可能性が高いことを理解し、医療に従事する方はセキュリティ対策への意識を高めていくことが大切です。
価値のある個人情報が豊富
医療機関が持つ患者の個人情報、電子カルテは不変的なデータが多いです。医療機関に保管されているデータには、以下のような個人情報が含まれています。
・氏名
・年齢
・性別
・住所
・電話番号
・保険者番号
・既往歴
・治療歴
・処方歴
このように、医療機関のシステムには多くの個人情報が保管されています。詳細な個人情報であることに加え、不変的なデータであることが攻撃者に狙われやすい要因です。
システムの老朽化が進んでいる
脆弱性が残るシステムを使い続けている医療機関が多いことが、サイバー攻撃のターゲットとなっている要因の1つです。システムの更新を行う場合、使用できなくなる期間が発生してしまいます。診療に支障をきたすことを危惧し、定期的な更新をしていないという医療機関もあるでしょう。
また電子カルテとの相性が悪ければ、セキュリティシステムの強化を断念せざるを得ない場合もあります。セキュリティシステムを強化できなければ脆弱性を抱えたまま運用することになるため、サイバー攻撃を受けやすい状態になってしまいます。利用しているシステムが古く、保守や拡張が困難な状態で運用されている医療機関はサイバー攻撃の被害を受けやすく危険です。
要求に応じる可能性が高い
身代金要求を目的としたランサムウェアの場合は、金銭の支払いに応じる可能性が高い相手を攻撃します。医療行為ができなくなった医療機関の被害は、金銭的な損失だけではありません。
電子カルテや医療機関の機器類が一定時間使えなくなると、業務停止だけでなく命の危機に晒される患者がいます。患者への医療行為を提供する医療機関は、社会的責任や使命感から攻撃者の要求に応じると見られている可能性が高いです。
医療機関におけるサイバーセキュリティ対策
この章では、サイバー攻撃に備えたセキュリティ対策を予防と被害軽減の観点で解説します。近年増加している医療機関へのサイバー攻撃に備えて、医療機関が取り組むべきセキュリティ対策を行いましょう。
ソフトウェアの確実なアップデート
ソフトウェアを最新の状態に保つことで、脆弱性のない高セキュリティな状態にできます。時間が経って古くなったソフトウェアは、最新の脅威に対応できない可能性が高いです。
開発メーカーは、時間経過に伴う脆弱性や最新の脅威に対応できる状態にするためにソフトウェアのアップデートを行っています。確実にソフトウェアのアップデートを行い、最新のセキュリティ性能を発揮できる状態にしておくことが重要です。
多要素認証の導入
不正アクセス防止には、多要素認証の導入が有効です。多要素認証とは、以下の認証要素を2つ以上組み合わせて認証する方法です。
・知識情報(パスワード・PINコード・秘密の質問など)
・所持情報(SMS認証・ICカード・トークンなど)
・生体情報(顔・指紋・声紋・静脈など)
万が一IDやパスワードが流出しても、所有要素または生体要素での認証が求められるため、第三者の不正ログインを防ぐことが可能です。
職員に対する教育の実施
セキュリティ対策を強化するためには、職員に対して個人情報の取り扱いルールの徹底やITリテラシー教育を十分に行うことが大切です。システム上のセキュリティ対策を強固にしても、利用する職員の意識が低ければ期待した効果を得られません。
個人情報取扱に関する法律に加え、当該医療機関の方針やルールの理解を深めることが重要です。また職員個人が利用するソーシャルメディアや、クラウドサービスの取扱いに関する注意事項を学んでもらう必要があります。
検知機能の強化
すべての脅威を完全に防ぐことは難しいため、侵入を前提としたセキュリティ対策が必要です。ネットワークやシステムを監視し、攻撃者が侵入した際に素早く検知して対処できる環境を整えましょう。
異常なログインの試みや無許可のネットワークスキャンなど、脅威となる対象を検知できるセキュリティツールを導入がおすすめです。医療機関のネットワークセキュリティに適しているツールには、ファイアウォールやNDRなどがあります。
データのバックアップ
万が一サイバー攻撃を受けたときに備えて、電子カルテのバックアップをとっておきましょう。電子カルテにアクセスできない状態になっても、バックアップのデータを使って業務を継続できます。ただし近年は、バックアップサーバーまで攻撃される事例が発生しています。
バックアップサーバーへの攻撃にも備えて、複数個所へのデータ保存や物理的にアクセスできない媒体への保管を行いましょう。攻撃者の要求に応じることなく、速やかにシステムを復旧して業務を継続できる状態にすることが望ましいです。
サイバー攻撃に備えて医療機関のセキュリティ対策を強化しよう
医療機関へのサイバー攻撃は年々増加しており、高度なセキュリティ対策が求められています。現状、医療機関におけるIT人材は不足しており十分な備えができていない医療機関は多いです。また医療従事者のセキュリティリスクに対する危機感が低いことも、被害を拡大させる要因となっています。
IT withでは情報システムに関するお悩みやお困りごとに対し、高い技術力と経験豊富なプロフェッショナル集団によるサポートが可能です。IT withはソフトバンク株式会社の子会社であるPSソリューションズが提供するサービスで、多くの実績とノウハウがあります。サイバー攻撃への対策が不十分だと感じている医療関係者の方は、ぜひIT withの導入をご検討ください。