サイバー攻撃者に医療機関が狙われる理由とその対策
病院内の情報セキュリティに関して
2020年6月

執筆者:株式会社アイ・ピー・エム
    代表取締役 田中 幸三(たなか こうぞう)氏

今回も、医療セミナーにて株式会社クロイツ代表取締役の木下 諒(きのした りょう)氏が講演された【院内の情報セキュリティに関して】について記述したい。

医療機関の被害

(1)イギリスの美容整形外科へのハッキング

2017年10月に発覚。被害を受けたのは、SNSやオンラインレビューでも非常に高評価を受けていたクリニックで、セレブ御用達であり、英国王室御用達でもあった。明確な人数は不明だが、テラバイト単位の情報が盗まれたとされている。

盗んだ情報を元に、患者(顧客)にも手術の際に撮られたとされる画像を送りつけ、身代金を要求するなど、医療データが金になることを熟知していたものと考えられる。

犯行グループは過去にもディズニーやネットフリックス等に同様の攻撃を仕掛けて情報を盗んでおり、金になることしか行わないことでも有名であった。

(2)アメリカの医療機関の被害

ローカルPC上の電子カルテへの攻撃。攻撃手法は不明であるが、患者情報390万人分の情報流出を確認している。

ネットワークに繋がっていなくても情報が漏えいするタイプの事例である。

(3)アメリカの医療機関の被害状況

マルウエアの感染により約300台のMRIが使用不可能となった。これにより、MRI検査室は倉庫となってしまった。

(4)イギリスの医療機関の被害

ランサムウエア「WannyCry」の被害である。イギリスの約半数の医療機関で全業務が停止した。イギリス政府はこれをテロとして調査しており、このことからも、病院はテロの標的になり得ることがわかる。

(5)日本国内病院のランサムウエア感染

半月間に来院した患者情報、約千人の電子カルテ情報が暗号化された。感染経路は未確定ながらも感染したマルウエアはメール経由で感染するタイプであった。

(6)その他

インスリンポンプへのハッキング、ペースメーカーハッキング、USBメモリなどの情報デバイスの紛失などがある。

これらの事例からも、医療機関がサイバー攻撃の対象となっているにも関わらず、各施設におけるセキュリティへの理解と準備が不足している感は否めない。

医療機関がサイバー攻撃を受けると心臓発作による患者の死亡率が増加する可能性もある。また、マルウエアを使用してCTスキャンやMRI画像に「偽のガン腫瘍」を追加・削除したりもできる。いわゆる医療情報を守ることは「患者様を守る」ことと同義と捉えるべきではないだろうか。

医療業界が狙われる訳とは・・・

まずは、医療機関におけるセキュリティ対策の遅れや意識の欠如がある。

次に、患者データの高額取引も要因の一つとなっている。

また、これは企業にも当てはまるのだが、テロの予行演習に使われることも大きな理由の一つであると考えられる。

被害が発生している企業や組織に共通する点としては、

  1. サイバー攻撃によって、どのような被害が発生し得るかを十分検討しなかった。
  2. 既知の脆弱性への適切な対策を怠っている。
  3. 予算がないことを言い訳にしている。

などである。

有効な対策方法は・・・

(1)組織・目的に合った対策ツールの導入

十分な検討をせずに価格だけで対策ツールを導入していないだろうか。これを行うと最善の成果を見出せないばかりか、むしろ害になる可能性もある。大切なのは何を守るか、どう守るかである。

ツールを導入する際に行うべきこととは、まずは、情報資産の洗い出し(守るものを知ること)が重要である。どんな内容の情報でどのように管理されていて、どこまで・誰にまで開示してよいものなのかなど、これを行うことで、どこをどのように守れば良いかが見えてくる。と同時に、攻撃を受けた際の対処がかなり容易となる。

(2)脆弱性を最小限にする

脆弱性とは、システム上の欠陥をいう。情報セキュリィティの脆弱性は、

  1. システム上の欠陥
  2. システムを使用する人
  3. 使用する環境

などがある。

脆弱性はすべての攻撃対象となり、逆に、脆弱性をなくすことにより、不正アクセスやウイルス感染は格段に難しくなる。仮に、不正アクセスやウイルス感染したとしても被害が拡大しにくくなるのである。

脆弱性診断を受けてみるのも一つの方法ではないだろうか。診断を受けることにより、今まで行っていた対策が適切であったかどうかの確認ができる。セキュリティパッチを随時更新することも脆弱性対策における有効な手段の一つである。

(3)実際にIT機器を扱う人の意識の向上

結局、情報セキュリティの最大の穴は人間の心理である。セキュリティへの意識を向上させることによりセキュリティレベルは格段にアップする。そのためにも情報セキュリティ教育の実施は必要なのである。“自分は大丈夫”“自分は関係ない”が一番危ない。一人の不用意な行動がすべての対策をダメにする。それを回避するためにも、情報セキュリティの確保は組織全体で行うことが重要である。

因みに、原因別漏えい件数(日本ネットワークセキュリティ協会:2017情報セキュリティインシデントに関する調査報告書)によると、全体の46.9%が人的ミス(誤操作、紛失・置き忘れ)となっている。

(4)敵を知る

「どんな攻撃例があるのか?」「どんな攻撃が流行しているのか?」「何を欲しがっているのか?」など、まずは敵を知ることが必要である。攻撃者の戦術・目的を知ることで、対策も立てやすくなる。

その対策として、情報セキュリティコンサルタントなどの専門家を確保することも方法の一つである。また、最近ではシーサート(CSIRT:Computer Security Incident Response Team)を設置する企業も増えてきており、その部署において、情報セキュリティに関する組織内外で起こったインシデントの窓口的役割を果たしている。

(5)環境づくり

内部不正による情報漏えいは、不正アクセスによるものよりも多いのが現状である。

その解決策として、情報セキュリティに関するルールの策定や見直しを随時行っていくことが必要である。また、入退室管理を徹底し、PCを外部の目に触れないような場所に格納することもポイントの一つとなる。

情報セキュリティコンサルタントに協力してもらうことも良い方法である。

(参考)ペネトレーションテスト

疑似的に企業・組織にハッキングを行い、どこが穴なのか、どの情報が抜かれるか、どのような影響が出るのかをテストする。これにより予行演習が出来、セキュリティの穴を丸裸にできるため、その結果、適切な対策方針を立てることが可能となる。

まとめ

情報セキュリティを確保することは、ITを利用しているすべての人の責任である。

その責任を放棄するのであれば、ITそのものを放棄しなければならない。そうならないためにもしっかりとした情報セキュリティ対策を施すべきである。

IoTやAI、5Gなどの技術が発達していき、更に便利な世の中になっていく。それに伴って、セキュリティの確保は、ますます重要な課題となっていくのである。

今回も、院内の情報セキュリティに関してについて記述した。

少しでも皆様のお役にたてれば幸いである。

「病院経営を見える化する」関連記事はこちら

上へ戻る