サイバー攻撃の脅威は、あらゆる業界に及んでいます。病院をはじめとする医療機関も例外ではなく、近年は病院に対するサイバー攻撃も増加しています。この記事では、病院へのサイバー攻撃が急増している要因をはじめ、攻撃の種類、病院が攻撃を受けた場合の影響、必要な対策を詳しく解説します。
病院に対するサイバー攻撃が増加している
近年、病院に対するサイバー攻撃が、増加傾向にあります。警察庁が公表した資料によると、2022年に発生したランサムウェア攻撃による被害230件のうち、医療・福祉分野の団体等の被害は20件に上りました(※1)。まずは、病院がサイバー攻撃の標的にされやすい理由と、医療機関のサイバーセキュリティをめぐる法改正について解説します。
※1 出典:警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
病院がサイバー攻撃の標的にされやすい要因
病院がサイバー攻撃の標的にされやすい要因としては、以下の2点が挙げられます。
病院がサイバー攻撃の標的にされやすい要因
- 患者の個人情報(診療情報)が高価値であること
- 一般企業と比べて、十分なセキュリティ対策が講じられていないと思われていること
医療機関が保有する情報資産の中には、患者の個人情報や電子カルテといったプライバシー情報が多数含まれています。こうした情報資産は、違法な情報がやりとりされるダークウェブにおいて高価格で売買される傾向があることから、攻撃者やその所属団体が効率良く利益を得るための手段として、医療機関に狙いを定めているのが実情です。
また、近年は患者がマイナンバーカードを健康保険証として利用する際に必要な仕組みである「オンライン資格確認」の導入義務化や、電子カルテの普及により、多くの病院でネットワーク環境の整備が喫緊の課題となっています。しかし、急激なインターネット環境の変化によって混乱が生じていることも予測されるため、以前からIT資産を保有・運用してきた一般企業と比べて、セキュリティ対策が十分に講じられていないという背景もあります。
医療機関のサイバーセキュリティ対策が義務化
2023年4月1日に医療法施行規則の一部改正が施行され、医療機関が医療サービスの提供に著しい支障をきたすことのないよう、サイバーセキュリティ確保に必要な措置を講じることが義務化されました(※2)。また、従前から厚生労働省が公開していた「医療情報システムの安全管理に関するガイドライン」(※3)が2023年5月に改定され、クラウドサービスの特徴を踏まえたリスクや対策に関する考え方が示されたほか、新たなセキュリティの概念であるゼロトラスト思考に則した対策の方向性などが提示されています。医療機関にとってサイバーセキュリティ対策は「講じておくことが望ましい施策」ではなく、「講じておくべき義務」へと強化されたことが重要なポイントです。
※2 出典:厚生労働省「医療法施行規則の一部を改正する省令について」
※3 出典:厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」
病院に対するサイバー攻撃の主な種類
病院を標的としたサイバー攻撃の中でも、近年特に多く見られる手口は大きく3つあります。病院に対するサイバー攻撃の主な種類と、それぞれの特徴について解説します。
ランサムウェア攻撃
ランサムウェアとは、標的とする組織が保有するデータを不正に暗号化した上で、データの復号と引き換えに身代金を要求するサイバー攻撃の手口です。患者の生命にも関わる重要データを膨大に抱えている医療機関がランサムウェア攻撃の被害に遭えば、甚大な損害を被ることは想像に難くありません。近年はデータの復号と引き換えに身代金を要求するだけでなく、攻撃者が窃取した情報を暴露すると脅迫して金銭を要求する「二重の脅迫」が行われた事例も確認されています。
なお、ランサムウェア攻撃によって暗号化されたデータは、たとえ攻撃者の要求に従って身代金を支払ったとしても、元通りの状態に戻る保証はありません。正常な医療サービスの提供が継続できなくなる恐れがあることから、被害を未然に防ぐ対策を早急に講じる必要があります。
サプライチェーン攻撃
サプライチェーン攻撃は、サービス供給網における取引先や関係事業者を標的としたサイバー攻撃の総称です。一般的に、サプライチェーンの上流に位置する組織の多くは高いセキュリティレベルを確保しており、攻撃者にとって侵入が容易ではない傾向があります。そこで、よりセキュリティが脆弱な取引先や子会社などを標的として攻撃を仕掛け、サプライチェーンのネットワークを通じてより上流の組織へと到達することが攻撃者の主な狙いです。
医療機関の場合、医療機器や医療品、食事などを供給している関係先がサイバー攻撃を受けることにより、医療機関にも被害が及ぶ恐れがあります。セキュリティ対策は医療機関が単独で講じればよいものではなく、サプライチェーン全体で対策を講じていくことが重要です。
標的型攻撃メール
標的型攻撃メールとは、ターゲットとなる組織に狙いを定めて実行されるサイバー攻撃のことを指します。不特定多数の個人や組織に攻撃メールをばらまくのではなく、特定の組織を綿密に調査した上で実行される点が大きな特徴です。
例えば、実在する医療機関や医療関係者を装ってメールを送ったり、学会関連のメールであるかのように誤認させたりする手口が想定されます。悪意のあるメールと気づかずに医療従事者が添付ファイルを開封したり、メールに記載されているURLリンクをクリックしたりすると不正なWebサイトなどに誘導され、端末のマルウェア感染やデータの窃取といった被害に遭うことになりかねません。標的型攻撃メールはターゲット組織を長期間調査した上で送付することから、不審なメールとして認識されにくい工夫がなされている点に特徴があります。
病院がサイバー攻撃を受けた場合の影響
病院がサイバー攻撃の被害に遭った場合、どのような影響を受けるのでしょうか。想定される被害の例としては、以下の3点が挙げられます。
患者の個人情報・診療情報の漏洩
サイバー攻撃を受けると、病院が保有する患者の個人情報や診療情報が外部に漏洩する被害に遭う可能性があります。患者の名前や生年月日、連絡先といった個人情報が流出するほか、医療機関の機密情報が漏洩する事態に発展すれば、社会的信用を大きく損なう可能性も否定できません。場合によっては、患者や関係者から損害賠償を請求されることも想定されます。
電子カルテのシステムダウン
サイバー攻撃を受けると、診療において不可欠な仕組みとなっている電子カルテのシステムがダウンし、診療を正常に続けられなくなる恐れもあります。システムが正常な状態に復旧するまで時間を要するようなら、診療そのものを中止せざるを得ません。新規患者の受け入れや処方箋の発行などができない状態に陥れば、地域社会に深刻な影響をもたらす可能性があります。
医療機器を含むシステムダウン
サイバー攻撃を受けることにより、医療機器を含む病院全体のシステムが利用できなくなる可能性もあります。そうなると、診療や入院患者へのケアが正常に続けられなくなるだけでなく、救命処置が必要な患者への対応ができなくなる事態に陥りかねません。医療サービスの提供にシステムが不可欠となっている現在、サイバー攻撃は人命にも関わる重大な事態を招きかねないといえます。
病院におけるサイバー攻撃対策
病院でのサイバー攻撃対策を強化するには、どのような取り組みが求められるのでしょうか。特に重要度の高い6つの対策について解説します。
スタッフの教育を徹底する
サイバー攻撃の脅威を未然に防ぐには、医療に従事するスタッフのセキュリティ教育が欠かせません。サイバー攻撃の手口には、スタッフ宛てに送信したメールがマルウェアの侵入経路となるケースも少なくないからです。不審なメールは開封しないことや、信頼性が確認できない添付ファイル・URLリンクなどはクリックしないよう、徹底する必要があります。患者やスタッフの個人情報の扱いも含めて、セキュリティに対する意識を高めておくことが大切です。
また、万が一マルウェア感染などのインシデントが発生した際に、具体的にどのように対処するべきか周知しておく必要もあります。セキュリティ担当者や窓口を明確にした上で、報告の手順や方法は明確に共有しておくことが求められます。マルウェアへの感染が疑われる端末を速やかにネットワークから遮断することや、端末の電源を切らないことなど、基本的な初動対応の徹底は必須事項の一つです。
サプライチェーンの管理を徹底する
サイバー攻撃に対しては、医療機関単独で対策を講じるだけでなく、サプライチェーン全体の管理を徹底していくことも重要なポイントです。医療機器や医薬品を供給するサプライヤーのセキュリティ対策について現状を調査するとともに、必要な対策強化に取り組んでもらう必要があります。
サプライヤーと契約を交わす際は、セキュリティ体制に関する条項を契約書に明記しておくことも大切です。必要なセキュリティレベルが維持されるよう、契約後も定期的に調査やヒアリングを実施するなど、サプライチェーンの管理を徹底する取り組みが求められます。
VPN機器を含むネットワークの管理を徹底する
不正アクセスの被害を未然に防ぐには、ネットワークの管理を徹底する必要があります。特定の人のみが利用できるVPN(Virtual Private Network:仮想専用回線)接続をはじめとする技術的な対策に加え、セキュリティポリシーやガイドラインにのっとったアクセス制限の設定など、ネットワーク管理は組織全体で取り組まなければなりません。
なお、近年はVPN機器を標的としたサイバー攻撃の事例も確認されています。技術的な対策は不可欠ではあるものの、技術面のみでセキュリティ対策が万全になるとは限りません。組織体制の整備やスタッフへの周知徹底といった面も併せて推進することにより、サイバー攻撃への備えを強化していくことが重要です。
電子カルテシステムのバックアップデータを作成する
ランサムウェア攻撃などの被害に遭うことも想定し、データのバックアップを作成・管理していく取り組みも欠かせません。特に電子カルテシステムに関しては、自動バックアップの仕組みを活用するなどして万が一の事態に備えることが大切です。
バックアップデータが整っていれば、仮にランサムウェア攻撃の被害に遭ったとしても感染前のデータを呼び出すことにより復旧が可能です。そうなると攻撃者の脅迫や身代金要求に耳を貸す余地がなくなり、システムの正常化にいち早く注力できる点も大きなメリットといえます。バックアップデータの作成は、サイバー攻撃対策を講じる上で必須の取り組みの一つです。
インシデント早期検知体制の構築
サイバー攻撃への対策を強化するには、脅威を未然に防ぐための対策と併せてインシデント発生時の対応に関しても準備をしておく必要があります。明確な初動対応を迅速に講じることによって、被害を最小限に抑えられる可能性が高まるからです。
具体的には、インシデント発生時の連絡先や報告方法、復旧に向けた作業の手順について周知徹底しておくことが大切です。インシデントの兆候は、現場でのわずかな違和感や平常時とは異なる機器・端末の挙動となって表面化するケースも少なくありません。インシデントを早期に検知し、初動対応へと速やかに移行できる体制を構築しておくことが求められます。
サイバー攻撃に対応するツールを導入する
サイバー攻撃を受けた際、組織内への脅威の侵入を防ぐほか、万が一侵入を許してしまった場合に備えて、異常を早期発見できるツールを導入しておくことも必須の対策といえます。以前からセキュリティ対策ソフトウェアなどを活用している医療機関においても、それが近年のサイバー攻撃の手口に対応可能なツールであるかあらためて確認しておくことが大切です。
病院内の機器や使用端末のうち、1台でもセキュリティ上の不備が残されていれば、攻撃者にとって格好の標的となりかねません。既知のマルウェアだけでなく、未知の脅威についても検知可能な仕組みになっているか否かも重要な確認ポイントです。
病院へのサイバー攻撃は広範囲に影響が及ぶため、脅威への備えが必須
病院がサイバー攻撃を受けた場合、患者やスタッフをはじめとする関係者に多大な被害をもたらす可能性が高く、社会的にも深刻な影響を与えることが懸念されます。想定される脅威に対して十分に備えておくことにより、サイバー攻撃の被害をできる限り回避すると同時に、脅威の侵入を早期に発見して速やかに対応できる仕組みを整えておくことが大切です。
クライアント運用管理ソフトウェア「SKYSEA Client View」は、組織内の端末・機器を一括管理できるツールです。VPN機器を含む組織内のすべてのネットワーク機器情報を収集できるほか、端末・機器のOSやソフトウェアの更新プログラムも迅速にアップデートできます。また、未知の脅威などからPCを守るEDR(エンドポイントセキュリティ)製品と連携し、マルウェアなどの侵入をリアルタイムで検知することもできます。早期対応のサポートに役立つツールとして脆弱性対策には効果的です。サイバー攻撃への対策を強化したい医療従事者の方は、ぜひ「SKYSEA Client View」の導入をご検討ください。
お問い合わせ・カタログダウンロード
「SKYSEA Client View」のお問い合わせ・資料ダウンロードはこちらから