お役立ち情報 近年急増する「医療機関を狙った攻撃」
2022年10月に発生した病院への
サプライチェーン攻撃
2022年10月、大阪府の基幹災害拠点病院において、サイバー攻撃を受けて基幹システムがダウンする、という事件が起きました。これによって新規外来患者の受付が停止した他、予定されていた数多くの手術も中止されるなど、甚大な影響を被る結果となりました。同センターはこれを重大な事故と位置づけ、外部委員のみで構成される「情報セキュリティインシデント調査委員会」を設置。2023年3月にこの件に関する「調査報告書」を公開しています。
報告書によれば、これらの被害はランサムウェア攻撃によるものであるとされています。攻撃発見のきっかけになったのは、2022年10月31日午前7時45分に発生した電子カルテの障害。その1時間以内にはランサムウェアに感染していることを確認し、電子カルテに関連するすべてのネットワークを遮断・利用停止した上で、紙ベースでのカルテ運用が開始されました。電子カルテを含む基幹システムの運用が再開されたのは、障害発見から43日後。さらに、部門システムを含む診療システム全体の復旧までには、合計73日を要したといいます。
報告書には、侵入経路と攻撃者の手順についても記載されていますが、これによれば給食センターのファイアウォールの脆弱性を悪用して侵入が行われ、ここでID・パスワードやIPアドレスなどのシステム情報を窃取、この給食センターと医療センターを常時接続していたVPN経路から医療センターのサーバーに侵入し、ここを踏み台にして基幹システムなどの他のサーバーに感染していったと見られています。
この報告でわかるのは、この攻撃が典型的なサプライチェーン攻撃であることです。そしてさらに注目すべきなのは、同病院にはセキュリティ対策を行う「情報企画室」が設置されており、そこに8名の職員が所属、ITベンダーによる支援も受けており、決して無策だったわけではなかった、ということです。
ただし「調査報告書」は、「約70システムある環境において決して潤沢な要員とはいえない」と指摘。「医療機関は(外部と接続されていない)閉域網だからセキュリティは問題ない」といった閉域網神話の中で、十分なリスク評価が行われていなかったのではないか、という記述も見られます。
人員不足を補うには
「ディープラーニング」の活用が有効
病院などの医療機関で発生したセキュリティインシデントは、当然ながらこれだけにとどまりません。日本国内だけを見ても、2018年10月に奈良県宇陀市内の病院へのランサムウェア攻撃、2019年5月に東京都東村山市内の医療センターへの不正アクセス事件、2020年12月に福島県福島市内の病院のマルウェア感染が報告されています。また海外でも、2016年頃から医療機関を狙う攻撃が活発化しています。
このような動きに拍車をかけているのが、2020年5月に確認された「Conti」というランサムウェアの登場です。以前のランサムウェアグループは「医療機関などは標的にしない」と明言するグループが多かったのですが、Contiは多数の医療機関を標的にしたことで注目を集め、2022年8月には米政府が最大1,000万ドルの賞金をかけ、その幹部メンバーの情報提供を呼びかけるに至っています。なお、すでに幹部メンバーの実名は公開されており、その拠点がロシアにあることもわかっています。
このような事実から分かるのは「サイバー脅威に対して病院は安全」とは決していえない、ということです。医療DXが進んだことで、閉域網神話はすでに崩壊。しかも、同病院のような「職員8名+社外支援」の体制でも、被害を未然に防ぐことはできなかったのです。これだけの体制を用意できない多くの医療機関にとっては、まさに震撼すべき状況だといえるでしょう。
かといって、セキュリティ確保のための要員をすぐに増やす、といったことは、多くの医療機関にとって現実的ではありません。セキュリティに精通した技術者の数は、日本はもちろんのこと世界的に見ても不足している上、新たに雇用するだけの予算を確保することも難しいからです。そこでお勧めしたいのが、ディープラーニング(深層学習)を活用したセキュリティの強化です。
ディープラーニングはAIの一種ですが、これまで多く使われてきたマシンラーニング(機械学習)とは大きく異なります。それは、マシンラーニングは「学習すべきポイント(特徴点)を人間が教える」のに対し、ディープラーニングは攻撃ファイルそのものを利用し、「自ら特徴点を見つける」点です。このため人間が気付かない僅かな特徴を見つけだせるため、高い精度で攻撃を検知できるのです。
このディープラーニングをセキュリティに応用したソリューションの代表格が「Deep Instinct」です。Deep Instinctは保護対象となる端末やサーバーに、ディープラーニングの学習成果である「予測モデル」を配置し、その端末やサーバーで発生した脅威を即座に検知し、保護します。Emotetなど変異を重ねる攻撃に対しても、1年以上も前に作成された予測モデルで検知するなど、最新の技術で防御力を極限まで高めた次世代アンチウイルスとして注目されています。
もちろんこのソリューションが有効なのは、医療機関だけではありません。セキュリティに十分な人員を確保できない他の組織や一般企業でも大きな効果をもたらすはずです。十分な人員が確保できないのであれば、ディープラーニングにその一端を任せてしまう。このような時代がすでに到来しているのです。
サイバネットでは、Deep Instinctの評価版提供や導入支援を行っています。同時検討されるケースの多いフル機能を装備したEDR製品の取り扱いもありますので、それぞれのメリット、デメリットを比較しつつ最適なものを選定していただくことができます。セキュリティ全般に関する各種ご相談も承っていますので、気軽にお声がけください。
