病院や医療機関がサイバー攻撃の対象に？手口と対策、事例をご紹介

サイバー攻撃はあらゆる業界にとって脅威です。中でも、病院や医療機関は個人情報や機密性の高いデータを多く扱うため、攻撃者にとって魅力的なターゲットとなっています。本記事では、医療機関が直面するサイバー攻撃の傾向と手口や被害事例、対策について解説します。

病院や医療機関が直面するサイバー攻撃は多岐にわたります。
これらの攻撃は高度に巧妙化しており、医療機関の運営に甚大な影響を及ぼす可能性があります。ランサムウェア攻撃、標的型攻撃メール、サプライチェーン攻撃は、特に注意を要する主な手口として挙げられます。これらの攻撃方法を理解し、適切な防御策を講じることが、医療機関にとって非常に重要です。
次にこれらの手口について詳しく見ていきましょう。

ランサムウェアは、被害者のファイルやシステムを暗号化し、復元のための身代金を要求するマルウェアの一種です。この攻撃は、データの復元が困難であるため重大な脅威となっています。
医療機関の場合でも、治療記録や患者情報を暗号化することで医療提供に重大な支障をきたします。

特定の組織や職員を狙ったフィッシング攻撃です。誤ってメール内のリンクをクリックすると、マルウェアがシステムに侵入し機密情報が盗まれるリスクがあります。
医療機関の場合も同様に、従業員に正規の通信と見せかけたメールを送り、添付ファイルやリンクを開かせることでマルウェアに感染させます。

サプライチェーン攻撃は医療機器メーカーやサプライヤーを経由して医療機関のネットワークに侵入する攻撃手法です。 信頼された第三者を通じて間接的に攻撃を仕掛けることで、サプライチェーン全体のセキュリティ強化が必要になります。

サイバー攻撃が病院や医療機関に及ぼす影響は単に技術的な問題にとどまらず、患者の安全と健康に直接関わる重大な結果を引き起こす可能性があります。
ランサムウェアによるシステムのダウンから標的型攻撃によるデータの漏洩まで、その影響範囲は広大です。

医療機関の運営に必須なシステムが攻撃されることで、患者への診療サービスが提供できなくなります。

ランサムウェア攻撃により電子カルテシステムが使用不能になると、患者の治療履歴やアレルギー情報などが参照できなくなります。 診療記録や治療履歴が参照できなくなることで、医療の質が大きく低下します。

標的型攻撃メールやサプライチェーン攻撃により、患者のプライバシーや病院の研究データが外部に流出する恐れがあります。

ランサムウェア攻撃で要求される身代金の支払いや、攻撃によるシステム復旧のための費用、患者からの訴訟リスクなど、多大な経済的損失を被る可能性があります。

続いて、実際に起きた被害事例をご紹介します。
事例を通じて、攻撃の実態を理解し将来的な被害を未然に防ぐための対策を講じることが重要です。

大阪急性期・総合医療センターは、令和4年10月31日早朝にランサムウェア攻撃を受け、電子カルテを含む情報システムが利用不可となり、救急診療から外来診療、予定手術に至るまで大きな支障をきたしました。

攻撃が判明した当日、病院は紙カルテへの移行を含む緊急対策を講じ、厚生労働省を含む複数の機関からの支援を受け、復旧作業に取り組みました。
事前にサイバー攻撃に対応する事業継続計画（BCP）は策定されていませんでしたが、攻撃後にはBCP会議を定期的に開催し、診療の継続と復旧を図りました。約6週間後には基幹システムが再稼働し、段階的に通常の診療体制が復旧。この事件を受けて、病院はセキュリティの脆弱性改善と再発防止策の強化に努め、外部有識者による調査委員会を設置し、提言を受け入れてITガバナンスの確立に取り組むとしています。

引用：情報セキュリティインシデント調査委員会報告書について

愛知県がんセンターでは、医師に付与されたクラウドサービスアカウントのパスワードが窃取され183名の患者情報が漏えいした可能性があることが判明しました。このクラウドサービスは、情報共有や外部連絡にMicrosoftのOffice365を使用しており、メールや共有ドライブなどが含まれます。不正アクセスは海外から行われ、5月31日から7月14日まで続いたことが確認されました。センターでは全職員のパスワードリセットや多要素認証の導入、ファイアウォールの設定強化など再発防止策を講じています​​。

引用：愛知県がんセンター職員が利用するクラウドサービスへの不正アクセスによる個人情報漏えいのおそれについて

徳島県のつるぎ町立半田病院は2021年10月31日未明、ランサムウェアを使う犯罪者集団「LockBit（ロックビット）」による攻撃を受け、電子カルテシステムが停止しました。
この障害は会計システムにも影響を及ぼし、診療報酬の算定や請求作業が停止。病院は新規患者の受け入れを停止し、収入が得られない状態での診療を強いられました。病院スタッフは即座に対応を開始し、幹部や関連医療機関、警察に報告、同日午後には記者会見を開き謝罪しました。

引用：コンピュータウイルス感染事案有識者会議調査報告書について

医療機関は患者の健康情報や個人情報など、高い価値を持つデータを多く保有しています。これらの情報は、不正な目的で利用されると大きな被害を引き起こす可能性があります。

患者情報は非常に価値が高く、闇市場で高額で取引されることがあります。また、医療機関は多くの外部機関とデータを共有しており、その接点が攻撃の機会を提供しています。

多くの医療機器がインターネットに接続されており、セキュリティの脆弱性が攻撃の窓口となることがあります。特に特に遠隔医療や電子カルテシステムの普及が進む中、これらのシステムのセキュリティ対策が不十分な場合、患者データの安全性が脅かされる可能性があります。

昨今のサイバー攻撃は絶えず変化しており、新たな脅威が日々登場しています。そのため、攻撃を未然に防ぐためには、最新のセキュリティ対策を継続することが不可欠です。
ここでは、医療機関が取り組むべき主要なサイバー攻撃対策をご紹介します。これらの対策は病院をサイバー脅威から守り、患者の安全とデータの保護を確保するために重要です。

脆弱性診断は、企業が自社のシステムやアプリケーションに存在するセキュリティの脆弱性を調査します。
医療分野の健康診断と同様に定期的に診断し、どこが悪いのかを把握し改善していくことで、セキュリティリスクを低減させることができます。

サービスのご紹介

アクトの脆弱性診断
国際資格(CEH、CISSP)を保有しているセキュリティエンジニアが対応します

アクトの「脆弱性診断サービス」は、経験豊富なセキュリティ専門技術者が、貴社のIT資産に潜む脆弱性を調査・検出、検査結果と今後の対応策をご報告させていただくサービスです。

サイバー攻撃に関する相談や、インシデント発生時の迅速な対応を支援するセキュリティ専門企業との連携は医療機関にとって重要です。事前に信頼できるパートナーを見つけておくことが望ましいです。

最新のセキュリティツールの導入は、未知の脅威から医療機関を守る上で不可欠です。これには、侵入検知システムやマルウェア対策ソフトウェアが含まれます。
ファイアウォール、アンチウイルスソフトウェア、侵入検知システム（IDS）、エンドポイントセキュリティ（EDR）など、高性能なセキュリティツールの導入が欠かせません。これらのツールは、不正アクセスの試みを防ぎ、早期に検知するのに役立ちます。

多要素認証（MFA）は、パスワードだけでなくSMSで送信されるコードや生体認証など、複数の認証手段を組み合わせることでセキュリティを強化します。MFAの導入は、不正アクセスによる被害を著しく減少させることができます。また、今年話題となっているPasskey（パスキー）認証なども有効です。

事前にインシデント対応計画を策定し、職員にその内容を周知しておくことは、サイバー攻撃発生時の混乱を最小限に抑え迅速に対応するために不可欠です。訓練やシミュレーションを定期的に行うことも、対応能力を高める上で有効です。

サイバー攻撃は、医療機関にとって避けて通れないリスクとなっています。しかし、適切な対策と準備を行うことで、そのリスクを最小限に抑えることが可能です。攻撃を完全に防ぐことは難しいかもしれませんが、被害を最小限に留め、迅速に復旧するための準備を整えることが、医療機関に求められる重要な対応策となります。

アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR（SentinelOne、Cybereason）のおまかせ運用を実現します。

アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。

また、IT導入補助金対象サービスの『データお守り隊』もご提供しております。
EDR＋SOC＋簡易サイバー保険をお手頃価格でパッケージしたサービスです。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。
ご興味がございましたら下記よりご確認ください。