医療分野におけるランサムウェア:世界的に拡大するサイバーセキュリティ上の脅威を理解する
ランサムウェアとは、コンピュータに感染し、複雑な暗号化アルゴリズムを用いてデータを破壊する悪意のあるソフトウェアです。その結果、暗号化されたデータは失われ、攻撃者はデータを復元する見返りとして身代金を要求しますが、復元を保証するものではありません。
サイバー犯罪者は様々な組織を標的にしますが、医療業界も例外ではありません。本ブログ記事では、医療分野におけるサイバー攻撃、ランサムウェアの破壊的な性質、そしてランサムウェアからデータを保護する方法について解説します。
ランサムウェアが医療機関を標的とする理由
ランサムウェアが医療機関を標的とするのは、これらの組織が管理・保管するデータの性質によるものです。現代の病院、診療所、検査機関、その他の医療機関では、診断の実施、医療記録の保管、健康状態の評価を行うために、デジタルシステムが広く活用されています。医療従事者は、不可欠な業務、時には人命を救うための業務を行うために、これらのシステムにアクセスする必要があります。
サイバー犯罪者は、医療機関を標的にし、ランサムウェアによってデータへのアクセスを遮断すれば、被害者はデータへのアクセスを早急に回復させるために身代金を支払うほかないと考えている。その影響は甚大であり、病院のデジタルシステムが機能しなくなれば、患者は医療支援を受けられずに命を落とす恐れがある。
医療記録には、住所、電話番号、メールアドレス、その他の個人識別情報、保険情報、病歴などの個人情報が含まれているため、犯罪者にとって貴重なデータとなります。攻撃者は、このデータを盗み出した上で破壊し、個人を標的とした攻撃に利用することがあります。また、研究開発情報(ワクチンや新薬の開発情報など)も貴重な資産であり、これを失うことによる代償は計り知れないものとなります。
さらに、多くの医療機関では予算の大部分を医療機器に充てており、サイバーセキュリティへの優先度は低いのが現状です。サイバーセキュリティを強化し、ハッカーが既存の脆弱性を悪用して医療分野へのサイバー攻撃を仕掛けるのを防ぐためには、さらなる投資が必要です。
さらに、医療業界の組織は、コンプライアンス違反に対して罰金を科す規制当局からの圧力にさらされています。攻撃者は、この経済的要因が、被害者からランサムウェアの身代金を引き出すのに役立つと見込んでいます。
医療分野における最近のランサムウェア攻撃:世界的な事例
以下に、医療機関を対象としたランサムウェア攻撃の世界的な事例をご紹介します。
チェンジ・ヘルスケア (2024年2月)。ALPHV/BlackCatグループによるランサムウェア攻撃により、保険金請求処理システムおよび支払システムが機能停止に陥り、米国の医療システムの相当な部分が影響を受けた。この侵害により、全米市民の3分の1に相当する人数の機密データが流出する可能性があり、多額の損害が発生した。 10億ドルを超える.
アセンション・ヘルスケア(2024年5月)。米国最大級の非営利医療グループであるアセンションは、ランサムウェア攻撃を受け、傘下の120の病院全体で電子カルテや診断サービスに支障が生じた。この事件により、患者ケアの遅延や多額の経済的損失が発生した。
Rite Aid(2024年6月)。このドラッグストアチェーンは、氏名、住所、運転免許証番号など、約220万人の個人情報が流出するデータ侵害被害を受けた。ハッカー集団"RansomHub"が犯行を主張した。この攻撃による主な悪影響は、訴訟や金銭的損失である。
シンノビス (2024年6月)。Qilinグループによる医療分野へのランサムウェア攻撃が、英国の国民保健サービス(NHS)向けの病理検査サービスプロバイダーであるSynnovisを標的とした。このランサムウェアにより、同組織の重要データが暗号化された。この侵害により、1,100件以上の手術が中止され、約400GBに及ぶ機密性の高い医療データが流出、その結果、約 3,270万ポンド.
アルダー・ヘイ小児病院(2024年11月)。INC Ransomグループは、データを盗んだと主張した 病院からのデータ 英国において、患者の診療記録や臓器提供に関する情報を含むデータが流出した。同病院は現在、国家犯罪対策庁と協力してこの情報漏洩事件を調査している。
MediSecure(2023年11月)。この電子処方箋に対する攻撃 オーストラリアのプロバイダー 約1,290万人の個人情報および健康情報が流出した。この情報漏洩は2024年5月まで発覚せず、その結果、MediSecureは自主的な管財手続きに入った。
ザグレブ大学病院(2024年6月)。ランサムウェアグループ"LockBit"がクロアチア最大の医療施設を攻撃し、データやコンピュータシステムが利用不能となったことで業務に支障をきたした。同グループは、医療記録を含む大量のファイルを盗み出したと主張している。
ご覧の通り、ランサムウェアには次のような機能があります:
- データを暗号化・破棄し、デジタルシステムを使用不能にする。
- 気づかれずにデータを盗む。
医療分野におけるランサムウェアの被害額
世界中でランサムウェア攻撃の件数は年々増加している。2024年には、ランサムウェアグループが5,461件の攻撃を成功させたと主張し、被害を受けた組織側も1,204件の攻撃を確認した。攻撃の大部分は、欧州および北米の機関を標的として行われた。2024年の身代金要求額の平均は350万ドルで、サイバー犯罪者への支払いが記録された総額は約1億3,350万ドルに達した。
医療分野におけるランサムウェア攻撃については、2024年に181件の攻撃が確認された。『The HIPAA Journal』によると、身代金要求額の平均は570万ドルだった。『Cyber Insurance News』の報道によると、ランサムウェアの標的となった医療機関の割合は67%に達し、2023年の60%から増加した。
医療分野で活動する組織の65%が、身代金要求額が100万ドルを超えたと報告しており、35%は500万ドルを超える要求に直面した。ランサムウェア攻撃後の復旧費用も増加しており、2023年の220万ドルから2024年には257万ドルへと上昇し、2021年比では2倍となっている。
医療現場におけるランサムウェアの主な感染経路
医療現場におけるランサムウェア攻撃の一般的な感染経路を把握しておくことは重要です。この情報は、リスクの低減や問題の軽減に役立ちます。その手法の多くは、サイバー犯罪者が一般的に用いる手法と同一です。
フィッシングメール は、医療機関に対するランサムウェア攻撃の最も一般的な手口です。悪意のある添付ファイル、悪意のあるマクロを含むMicrosoft Office文書、および悪意のあるウェブサイトへのリンクは、エンドユーザーのコンピュータを介して医療機関にランサムウェアをインストールするために広く利用されています。 これらのメール 攻撃者は、ベンダーや管理者、さらには社内の部署を装うことがよくあります。攻撃者はソーシャルエンジニアリングの手法を用いて、被害者に緊急性を感じさせ、侵入の足がかりを作ろうとします。
リモートデスクトップの脆弱性 これもまた、コンピュータにランサムウェアを感染させるために広く利用されている手法です。サイバー犯罪者は、リモートデスクトッププロトコルやソフトウェアの脆弱性を悪用して攻撃を開始します。リモートデスクトップサービスの不適切な設定や、脆弱なパスワード、セキュリティ設定は、医療機関においてランサムウェアの侵入経路となる可能性があります。攻撃者は開いているRDPポートをスキャンし、ブルートフォース攻撃や盗まれた認証情報を利用して、システムへの直接アクセスを獲得します。
ソフトウェアの脆弱性. 攻撃者は、オペレーティングシステム、アプリケーション、その他のソフトウェアに存在する脆弱性を悪用する可能性があります。医療専用のソフトウェアには既知の脆弱性が存在する場合があり、攻撃者はそれらを利用してマシンにランサムウェアをインストールしたり、ランサムウェアを拡散させたり、データを破壊したりすることが可能です。ゼロデイ脆弱性は最も危険であり、ベンダーには未知の新たな脆弱性ですが、ハッカーによって悪用されています。
ウイルスに感染したUSBメモリ悪意のある攻撃者は、医療機関内の誰でもアクセスできる場所に設置されたコンピューターのUSBポートに、感染したUSBメモリを差し込む可能性があります。これにより、コンピューターがランサムウェアに感染し、組織内のネットワーク全体に拡散する恐れがあります。
認証. 脆弱なパスワードや盗まれた認証情報を利用してシステムにログインし、ランサムウェアをインストールします。サイバー犯罪者は、過去の情報漏洩事件で流出したデータを利用して、コンピュータやネットワークにアクセスすることがあります。
医療分野におけるランサムウェア対策のベストプラクティス
医療機関においてデータを保護し、ランサムウェアを防止するために、以下のベストプラクティスを実施してください。ランサムウェア対策には、多層的なアプローチが必要です:
- メールのセキュリティを強化する. スパムフィルターを設定し、 メールの保護 フィッシング攻撃を防ぐための対策を講じます。ユーザーに対し、不審なメールやリンクを見分けるよう指導してください。ユーザーはそれらを管理者に報告する必要があります。メールの添付ファイルにはサンドボックスを利用することができます。
- 最新のウイルス対策ソフトを使用してください信頼できるベンダーのアンチウイルスソフトを導入してください。アンチウイルスやアンチマルウェアソフトは、ランサムウェアを迅速に検知し、悪意のあるファイルを削除することで感染を防ぐことができます。最新のアンチウイルスシステムは、オペレーティングシステムやファイルシステムにおける不審な動作を分析することができ、これらはランサムウェアの兆候である可能性があります。侵入防止システム(IPS)を導入することで、ランサムウェアに対する防御レベルを全体的に高めることができます。
- ソフトウェアの脆弱性を修正するために、セキュリティパッチを適用してください. オペレーティングシステム、電子カルテプラットフォーム、PACS/RISシステム、および医療機器へのセキュリティパッチの適用をお忘れなく。
- ネットワークのセキュリティを確保する. ファイアウォールを設定し、使用していないポートを閉じて、攻撃の標的となる可能性のある攻撃対象領域を縮小してください。感染した場合にランサムウェアの拡散を制限するため、ネットワークを分離してください。医療機器、管理システム、および公共Wi-Fiを隔離するために、ネットワークをセグメント化してください。ランサムウェアは通常、データを暗号化するためにネットワークに高い負荷をかけるため、ネットワーク、ディスク、およびプロセッサの使用状況を監視するように設定してください。
- 効果的なセキュリティポリシーを導入する. 適切なアクセス権限、強固なパスワード、および認証方法(特に電子メールにおいて)を設定し、厳格なアクセス制御を構築してください。重要なシステムには多要素認証を設定してください。役割ベースのアクセス制御および最小権限の原則の適用を検討してください。
- ユーザーへの啓発. 医療現場の状況を考慮したサイバーセキュリティ研修を実施してください。ユーザーに対し、医療分野におけるランサムウェアの主な感染経路や、感染の初期兆候について周知徹底してください。ユーザーは、ランサムウェアの拡散やデータの暗号化を防ぐため、感染したコンピュータや不審な動作を示すコンピュータをネットワークから切り離し、電源を切る必要があります。また、定期的なフィッシングテストを実施し、ユーザーの警戒心を高めてください。
- 定期的にデータのバックアップを取ってください. 特定の頻度でスケジュールされた自動バックアップを設定し、定期的にバックアップを実行してください。 3-2-1バックアップルール 複数のバックアップを異なる場所に保存するためです。ランサムウェアによってあるデータのコピーが破壊された場合でも、別の正常なコピーからデータを復元できる可能性が高まります。ソースから切り離されたハードディスクドライブなどのエアギャップ方式のストレージを使用するか、 テープカートリッジ、ランサムウェアは接続されていないメディアには物理的にアクセスできないためです。設定 バックアップの不変性 ランサムウェアは不変のデータを変更できないため、ランサムウェアに対する防御力が向上します。
- 復旧計画を作成するインシデント対応計画を作成し、 災害復旧計画ランサムウェア対応計画には、連絡先リスト、法的および規制上の手順(例:HIPAA違反の報告)、復旧および情報伝達戦略を含める必要があります。
- サイバー犯罪者に身代金を支払わないでください身代金を支払うことは、ランサムウェアの作成者にさらなる攻撃を仕掛け、より多くの金銭を搾取する動機を与えてしまいます。ランサムウェアに感染した場合、攻撃者に身代金を支払わないことをお勧めします。身代金を支払ったとしても、暗号化されたデータが復元される保証はなく、盗まれたデータが第三者に渡らないという保証もありません。
ランサムウェア対策におけるバックアップと災害復旧の役割
バックアップと災害復旧は、組織が身代金を支払うことなく業務とデータを復旧できるようにすることで、医療分野におけるランサムウェア対策において極めて重要な役割を果たします。万が一、予防策によって元のデータをランサムウェアから守ることができなかった場合でも、 データを復元する バックアップから。
- 身代金を支払わずにデータを復旧するランサムウェアに対する主な防御策は、元のデータが破損した場合でも、バックアップから正常なデータを復元できることです。検証済みで隔離されたバックアップがあれば、医療機関は攻撃者への支払いを回避し、損失を最小限に抑えてサービスを再開することができます。
- ランサムウェアによってデータが暗号化された場合のデータ保護ランサムウェアはデータを暗号化(破損)または削除します。データ保護ソリューションを導入することで、医療機関は電子カルテ、画像データ(PACS)、予約・請求システムなどのデータを復旧することができます。
- 事業継続の確保. 短時間でデータを復旧し、サービスの可用性を回復させることができます。これは、ランサムウェア感染後のデータ復旧において最も迅速な方法です。その結果、ダウンタイムと経済的損失を最小限に抑えることができます。医療分野において、ダウンタイムが1分でも発生すれば、患者ケアの遅延、法的・規制上の罰則、評判の低下など、深刻な結果を招く恐れがあります。
ランサムウェア攻撃からシステムを守るためのベストプラクティスを実践し、迅速な復旧を可能にする、信頼性の高いデータ保護ソリューションを選ぶことが重要です。
医療分野における規制遵守とデータ保護
医療分野における規制遵守とデータ保護は、患者の安全を確保し、信頼を維持し、法的・金銭的な制裁を回避するために不可欠です。これらの規制は、データの収集、保存、アクセス、保護の方法、特にランサムウェアのような医療分野におけるサイバーセキュリティ上の脅威に対する対策を規定しています。
医療分野において規制遵守が重要である理由は以下の通りです:
- 医療機関は、診断、治療、病歴、および請求情報を含む、保護対象の医療情報を取り扱っています。
- 情報漏洩は、患者への危害、個人情報の盗難、そして社会からの信頼の喪失につながる恐れがあります。
- これに従わない場合、罰金、法的措置、および免許の取り消しなどの処分を受ける可能性があります。
医療分野における主要なデータ保護規制は以下の通りです:
- HIPAA (医療保険の相互運用性と説明責任に関する法律) – 米国。
- 焦点:保護対象となる健康情報の保護。
- プライバシー規則:保護対象となる健康情報のアクセスおよび利用を規制する。
- セキュリティ規則:技術的、管理的、および物理的な保護措置が必要である。
- 情報漏洩通知規則:情報漏洩の適時な開示を義務付ける。
- 罰則:違反1件につき、年間最大190万ドル。
- GDPR (一般データ保護規則) – EU/EEA。
- 重点分野:健康データを含む個人データの保護。
- 主な規定:データ利用に関するインフォームド・コンセント、忘れられる権利、データ最小化、および暗号化。
- 罰則:最大2,000万ユーロ、または全世界の年間売上高の4%。
- PIPEDA (個人情報保護および電子文書法)
- 民間医療機関が患者データをどのように取り扱っているかについて解説する。
- 透明性、同意、および違反の報告が求められます。
- その他の主な規制:
- オーストラリア:"マイ・ヘルス・レコード法"、"プライバシー法"。
- インド:デジタル個人データ保護法(DPDP)、DISHA(法案)。
- シンガポール:個人データ保護法(PDPA)。
規制およびコンプライアンス要件は、医療分野におけるデータ保護の基本原則に影響を及ぼします:
- 機密保持:
- PHIへのアクセスは、権限のある担当者のみに限定してください。
- ロールベースのアクセス制御の利用と 暗号化.
- 誠実さ:
- PHIが正確であり、改ざんされていないことを確認してください。
- すべてのアクセスと変更を記録する。
- 在庫状況:
- システムは、特に集中治療(EHR、PACS)においては、耐障害性を備え、稼働時間を維持しなければならない。
- バックアップと災害復旧体制が整っています。
これらの要因やコンプライアンス要件は、データ保護を含め、医療機関におけるランサムウェア対策戦略に影響を及ぼします。
結論
医療分野におけるランサムウェアは、患者の健康に影響を及ぼす可能性があるため、特に危険です。ランサムウェア攻撃が増加している中、医療機関はデータを保護するための予防策を講じることが強く推奨されます。バックアップと災害復旧は不可欠であり、身代金を支払うことなくデータを迅速に復旧するのに役立ちます。利用 NAKIVO Backup & Replication バックアップの不変性、暗号化、Site Recoveryなどの高度な機能を活用し、ランサムウェアからデータを保護します。
