医療機関はなぜ狙われるのか?~サイバー攻撃被害の事例と、効果的なセキュリティ対策を解説
index
2024/02/16
なぜ病院・医療機関がランサムウェア攻撃で狙われるのか?
独立行政法人 情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2024」の企業など組織に関するランキングにおいて、1位と2位がランサムウェア関連の脅威となっています(下図)。
また、複数のセキュリティ調査機関が「ランサムウェア攻撃の標的とされやすく、もっとも狙われた業界」として、公共・金融・製造業などと並んで医療機関を挙げています。
なぜ、医療機関がランサムウェア攻撃で狙われるのでしょうか。その主な理由と考えられるのは、以下の点です。
- 病院などの医療機関は社会保障番号や病歴、患者の個人情報など、情報の転売や恐喝に悪用されやすいデータを多く保有していること
- 他の業界に比べてバックアップやOSのアップデート、セキュリティパッチの適用などのセキュリティ対策が進んでいないこと
- 医療行為を提供しなければならない社会的責任から、身代金の支払いに応じる可能性が高いと見られていること
実際に、日本でも医療機関に対するサイバー攻撃が急増し、その被害を報道などで目にする機会も増えています。攻撃により電子カルテシステムや会計システムが長期間停止し、医療業務が行えない状況が発生すると、新たな患者や救急の受け入れを制限せざる得なくなることで地域医療への深刻な影響を及ぼします。また電子カルテが閲覧できないことによる医療事故リスクの増大、さらには病院経営における膨大な経済損失といった深刻な事態が発生しています。
出典:独立行政法人 情報処理推進機構(IPA)「情報セキュリティ10大脅威 2024」
日本国内の医療機関におけるサイバー攻撃の主な事例
それでは近年、日本国内で発生した主だったサイバー攻撃被害の事例を見ていきましょう。
サイバー攻撃被害の事例
- 2018年10月
奈良県の病院でランサムウェア被害。電子カルテシステムが使用できなくなり、復旧まで紙カルテの運用を余儀なくされた。原因は職員が私物PCでネットワーク機器に接続したためとみられる。 - 2019年5月
東京都の医療センターの職員端末が不正アクセスを受け、端末内の情報が流出。被害は当該職員の職務用PC 端末のメールボックスのみで、ファイルサーバへの不正アクセスは無かった。原因は職員宛メールの添付ファイルを開封した事によってマルウェア「Emotet亜種」に感染したため。 - 2020年12月
福島県の病院で2017年8月からコンピュータウイルス「WannaCry」の感染が原因とみられる検査機器の不具合が複数部署で発生していたと公表。現時点で身代金の要求やデータ流出は確認されていない。 - 2021年10月
徳島県の病院がランサムウェア「Lockbit 2.0」攻撃による被害。病院内の十数台のプリンタから英文の「犯行声明」が出力された。8万5千人分の電子カルテや院内LANが使用不能になり、会計システムで診察費の請求もできなくなったため、一部の診療科を除き新規患者の受け入れを中止。復旧に2か月を要した。 - 2022年1月
東京都の病院で院内サーバーがコンピュータウイルスに感染。電子カルテが閲覧不能になり、会計システムも停止。診療を一部停止し、診療費を後日請求する事態に。 - 2022年6月
徳島県の病院でランサムウェア「Lockbit 2.0」 によるシステムへの侵入被害。電子カルテ、院内LANシステムが使用不能に。オフラインバックアップによって早期に復旧。 - 2022年10月
大阪の医療センターでランサムウェア攻撃被害。電子カルテなどが暗号化され、外来診療や各種検査が停止し、復旧に2か月を要した。ランサムウェアの侵入口は給食委託事業者のVPN装置とされる。
これらはあくまでも一部です。中でも2022年の徳島県の病院の事例では、医療機関におけるランサムウェア被害の詳細がレポートとして公表され、その深刻さが浮き彫りになりました。
同病院は10年前に紙カルテから電子カルテに切り替え、会計システムを連動させて診療報酬の算定や請求業務を行っていました。攻撃により電子カルテが使えなくなったことで会計システムも機能しなくなりました。さらに、復旧に長期間かかり、新規患者の受け入れも停止せざるを得なくなりました。同病院は災害対策本部を設置し、カルテがない中でスタッフが来院患者から手術歴やアレルギー情報などを聞き取り、紙カルテへの手書きで対応。患者本人の記憶があいまいな場合は、調剤薬局に問い合わせて薬剤服用歴をもとに診察を行うといった対応が続きました。電子カルテシステムが完全に復旧するまで2ヶ月強。被害額は、調査・復旧費用で数億円以上、診療制限などの逸失利益は数十億円以上に上ると報じられています。
参考:日本医師会総合政策研究機構「日本の医療機関におけるサイバー攻撃の事例」
ランサムウェアとは
そもそもランサムウェアとは、いったいどういうものなのでしょうか?ここでは、警察庁の定義をもとに、ランサムウェア攻撃とは何なのか、また感染すると具体的にどのような被害に遭うのかを解説します。
ランサムウェアとは、感染すると端末などに保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価(金銭や電子マネーなどの暗号資産)を要求する不正プログラムです。
従来のランサムウェアは、「不特定多数の利用者を狙って電子メールを送信する」などの手口が一般的でしたが、近年ではデータを暗号化し、データを窃取した上で「対価(身代金)を支払わなければ当該データを公開する」「暗号化を解除して欲しければ対価(身代金)を支払え」などと要求する、二重恐喝(ダブルエクストーション)という手口が増加しています。 脅迫メッセージは端末にポップアップで表示される、PCの壁紙に強制指定される、乗っ取られたプリンタから脅迫メッセージが記載された用紙が続々と排出され続けるなど、さまざまな方法で届きます。
仮に電子カルテが暗号化された場合、自力で復号することは非常に困難です。適切なバックアップデータからの復旧ができない場合は、新たなサーバー環境と電子カルテシステムを用意し、構築し直す必要に迫られます。徳島県の病院の事例では、この費用に約2億円かかったことが明らかになっています。
ランサムウェア被害から見た医療機関サイバーリスクの変化
従来のセキュリティ被害は、医療機関が直接攻撃を受けるケースがほとんどでした。しかし、2022年10月の大阪の医療センターでのランサムウェア攻撃被害では、外部の給食委託業者のデータセンターを経由する、いわゆるサプライチェーン攻撃によって病院に侵入したことが明らかとなりました。また、2021年10月の徳島県の病院の事例では、導入していたVPN機器の、メーカー周知済の脆弱性を悪用して不正侵入したことが判明しています。適切な更新が施されていれば、被害を未然に防げた可能性が指摘されました。
これらの事例は、医療セキュリティに対する考え方を変える大きな潮目となりました。従来のような「ベンダーに任せておけば安心」という考え方はもはや通用せず、病院側自身でガバナンスを効かせる必要性が再認識されました。さらに自院内のみならず、関係事業社を含めたサプライチェーン全体でのセキュリティ管理体制も構築しなければならなくなったことを示しています。
厚生労働省が安全管理ガイドラインを改訂
こうした事態を受けて、厚生労働省は医療機関へのサイバー攻撃対策強化に向けた指針を次々と示しています。
2023年5月31日、厚生労働省は「医療情報システムの安全管理に関するガイドライン第6.0版」を公開しました。本ガイドラインでは、前提として医療法施行規則(第14条第2項)における病院などの管理者の遵守事項として、サイバーセキュリティの確保が求められるようなったと明記されました。その上で、昨今の医療ITやサイバー攻撃を踏まえて「外部委託、外部サービスの利用に関する整理」「情報セキュリティに関する考え方の整理」「新技術、制度・規格の変更への対応」といったポイントを改訂。サイバーセキュリティへの対応を強化し、より実効性を高める内容となっています。
また、医療法第25条第1項に基づく「立ち入り検査」に関して、サイバーセキュリティに関する項目が追加されています。これにより復旧手順の検討およびサイバー攻撃を想定した訓練なども、立ち入り検査項目として設定されました。さらに「診療報酬」改訂においても、400床以上の保険医療機関に対し、医療情報システム安全管理責任者の配置および院内研修の実施が要件として追加されました。
なぜ対策が進まない?国内医療セキュリティにおける構造上の課題
国からの指針が示される一方で、医療機関におけるサイバー攻撃への対策は遅れが指摘されています。
厚生労働省が2023年3月に公表した「病院における医療情報システムのサイバーセキュリティ対策に係る調査」によれば、
- 情報機器・システム・サービスが「医療情報システムの安全管理に関するガイドライン」に準拠しているかを確認するために、MDS/SDS を用いた点検を行っていない・・・81%
- サイバー攻撃などによるシステム障害発生時に備えて、BCPを策定していない・・・77%
- サイバーセキュリティリスク低減のための措置を講じていない・・・49%
- 「インシデントの早期検知」のための各種ログの確認・通信の監視などを行っていない・・・65%
といった実態が明らかとなりました。国内の医療機関では東日本大震災をきっかけとして自然災害に対するBCP策定は取り組みが進んだものの、サイバー攻撃を想定した取り組みはなかなか進んでいないのが実情です。この背景には、人的リソースの不足、IT予算の少なさ、システムベンダーへの依存という3つの要因が挙げられます。
近年では大手の医療機関や500床以上の大規模病院、大学病院では病院の医療情報をガバナンスする医療情報部などが設置され、ITシステムや診療情報の管理業務を分担、各分野に詳しい専任の担当者を置くことも増えてきました。しかし、200床未満の中・小規模病院では医事課などの事務部門が兼業でITシステムの運用保守を行っており、「一人情シス」や専任の担当者がいない、ということも珍しくありません。大手の医療機関においても人員やナレッジが不足し、高度化して広範囲におよぶセキュリティ対策まではなかなか手が回らないのが実状です。
IT予算に関しても、年間のセキュリティ予算が500万円未満の病院が半数を占めるという調査結果もあります(出典:日本病院会「四病院団体協議会 セキュリティアンケート調査結果」)。病院におけるITシステムはコストセンターとみなされるため、医業収益を生む診療や検査への投資が、優先される傾向にあることが理由です。
さらに、医療機関のITシステム運用保守は電子カルテベンダーや部門システムベンダーに丸投げされることが多く、セキュリティ対策もその範囲内での業者任せとなっています。また、外部ベンダーとの間でもセキュリティ対策が保守契約範囲に含まれるかの協議が曖昧で、適切な対策が実行されている医療機関は決して多くはありません。
さらに、長年外部とは接続されないクローズドな環境で運用されてきた医療機関でのITシステムは、近年さまざまな外部接続の口が存在しているにも関わらず、認識がアップデートされていないという問題もあります。定期的なOSアップデートや、セキュリティパッチの適用を行うとどうしても一定時間システム停止が発生しますが、これにより診療に影響を与えてしまう、システムの挙動に影響するといった懸念から、病院やベンダーも、セキュリティ対策として欠かせないOSの更新やパッチの適用に消極的になってしまうという事情もあります。
医療機関が実施するべきランサムウェア対策とは
ここまで、医療機関を取り巻くサイバー攻撃の実態と被害のリスク、そして対策が難しい事情についてお伝えしました。ここからは、これらの背景を踏まえて医療機関が取り組むべき対策について解説します。
病院をはじめとする医療機関が実施すべき基本的な対策として、以下の5項目が挙げられます。
- VPN機器のセキュリティ強化
- 攻撃の「早期検知・対処」ツールの導入
- 多要素認証やSSOの導入
- セキュリティインシデント発生時の対応計画策定
- サプライチェーンリスクへの対策
1. VPN機器のセキュリティ強化
前述の通り、医療機関や病院へのサイバー攻撃は、VPNの脆弱性を狙ったものが増加しています。そのため、「VPN機器の認証やパスワードを見直す」「最新のパッチ適用やアップデートの定期的な実行」といった基本的な対策を行いましょう。
2. 攻撃の「早期検知・対処」ツールの導入
攻撃者がネットワークへ侵入してくることを前提とした、不正アクセスを素早く検知・対策できるセキュリティツールの導入も欠かせません。具体的には、外部ネットワークと内部ネットワークの境界を守るファイアウォール、ネットワークに侵入された時点で検知・ブロックするIDS(不正侵入検知システム)/IPS(不正侵入防御システム)、さらに、ネットワーク全体を監視し脅威を検知・対処するNDR(Network Detection and Response)などの導入を検討しましょう。
3. 多要素認証やSSOの導入
強固な認証を実現するための、「多要素認証」とSSO(シングルサインオン)の導入も検討しましょう。多要素認証とは、通常のID / パスワードによるログイン条件に加え、指紋や顔を用いた生体認証、スマートフォンを用いたワンタイムパスワードなどを組み合わせて行う認証方法です。多要素認証を導入することで、万一PCやVPNのログインIDやパスワードが流出した場合でも、攻撃者からの不正アクセスを防ぐことが可能になります。SSOとは、1度のユーザー認証で複数のシステムの利用が可能になる仕組みです。利用するシステムやサービスごとに個別のIDやパスワードを用いると管理がしづらく漏洩のリスクも高まります。多要素認証とセットで提供されるサービスも多いので、併せて検討しましょう。
4. セキュリティインシデント発生時の対応計画を策定
万が一サイバー攻撃を受けた際、迅速かつ効果的な対処を行うための対処法を体系的に取りまとめた、「インシデント対応計画」の策定も必要不可欠です。インシデントが発覚した時点での内部・外部への連絡体制、電子カルテなどのデータが破損した際にも滞りなく医療業務が継続できるためのバックアップおよび復旧の手順などを、具体的に取りまとめましょう。また、平時から定期的にデータ復旧などのテストや訓練を実施することも重要です。
5. サプライチェーンリスクへの対策
前述の通り、現在では自組織のみではなく、関連事業社全体におけるセキュリティレベル向上と、体制の構築が欠かせなくなってきています。今や医療機関のITシステムはさまざまな取引先やパートナー事業社とネットワークでつながっているため、ここを放置すると関連事業者を踏み台にして、院内のシステムに不正に侵入されるリスクがあります。
取引先・パートナー事業社とのサプライチェーンリスクへの対策としては、以下のような項目が挙げられます。
- 取引先・パートナー事業社との間で、委託先に実施を求める具体的な対策、インシデント発生時の初動対応および報告手順など、情報セキュリティの責任範囲と対策方法を明文化する
- 取引先・パートナー事業社と定期的な情報共有の場を設け、サプライチェーンに関するリスク分析および対策計画の共有を実施する
- アクセス制御によるマイクロセグメンテーションを行うことで、万が一ランサムウェアに感染した場合においても影響を最小限にとどめる
近年、医療機関でのランサムウェア攻撃被害が相次いで発生し、その被害の深刻さが報じられることが増えています。本記事では、主だった被害事例を紐解きながら、なぜ病院をはじめとする医療機関が狙われるのか、ランサムウェア攻撃に感染するとどうなるのか、なぜ医療機関ではセキュリティ対策が進めづらいのか、という医療機関特有の問題点と効果的な対策を解説しました。
病院、診療所などの医療機関でセキュリティ対策にあたられる方はもちろん、医療業界にサービスを提供するメーカーやベンダーの方々の対応策検討にも参考になれば幸いです。
医療機関のサイバーセキュリティ対策に有効なサービス IIJ Safous ZTA
IIJでは、医療機関に対するサイバー攻撃リスクを軽減するサービスとして、IIJ Safous ZTAを提供しています。
IIJ Safous ZTAは、ゼロトラスト・セキュリティの考え方をベースに、施設内の情報資産により安全にリモートアクセスするために必要なセキュリティ機能をオールインワンで提供します。これによりVPNなどの既存のリモートアクセス手段を、簡単でセキュアなSafousで代替できます。
IIJ Safous ZTAが提供する価値
お客様のネットワークにはApp Gatewayを設置するだけ。ユーザの端末はWebブラウザを経由して最寄りのSafous POPを自動選択します。これにより認証と細かなアクセス制御を実現し、端末のセキュリティ状態に関わらず、セキュアに社内のリソースにアクセスすることが可能になります。
サービスについてより詳しくは、下記からご参照ください。
IIJ Safous ZTA - ゼロトラスト・セキュリティに基づいたセキュアアクセスサービス
医療機関のセキュリティ脅威対策でお悩みの際は、ぜひIIJまでお気軽にお問い合わせください。