病院が注意すべきサイバー攻撃とは? 被害事例や対策を解説
サイバー攻撃は、インターネット環境下で重要な情報をやりとりしているすべての企業や組織が対象になりえるため、万全な対策が必要です。病院や医療機関でも、悪質なサイバー攻撃が相次ぎ、電子カルテの導入などが進む医療機関で機能不全に陥るケースもありました。自院の患者や安定した業務を守るために、何をすればいいのでしょうか。
本記事では、医療機関へのサイバー攻撃の実態や原因、実践すべきセキュリティ対策のほか、ランサムウェアの攻撃を受けた場合の対処法などについて解説します。
病院・医療機関へのサイバー攻撃が増加している
近年、病院や医療機関をターゲットとしたサイバー攻撃が増えています。
警察庁が公表した「サイバー事案の被害の潜在化防止に向けた検討会報告書 2023」によれば、2021年から2022年にかけて医療・福祉分野で発生したランサムウェアと呼ばれるサイバー攻撃の被害件数は、下記のように右肩上がりで増加しています。
ランサムウェアの攻撃では、電子カルテシステムや会計システムなどがダウンし、業務を継続できなくなるといった甚大な被害が発生する可能性もあります。医療機関としての責務を安定的に果たし続けるためには、ランサムウェアなどのサイバー攻撃への対策は不可欠です。
病院・医療機関がサイバー攻撃で狙われやすい理由
病院や医療機関には、サイバー攻撃の標的になりやすい理由があります。サイバー攻撃の攻撃者が医療機関を攻撃対象に選ぶ理由としては、下記の4点が挙げられます。
攻撃者にとって価値のあるデータが多い
病院や医療機関がサイバー攻撃の標的になりやすい理由は、攻撃者が欲しがる情報を数多く保有していることです。
例えば、病院の初診では、健康保険証を出し、問診票にこれまでの病歴・薬歴を詳しく記載します。受けた検査の結果や治療の内容、ケガや病気の経過は、個人情報と併せて電子カルテで管理され、診療報酬の支払いにクレジットカード決済を使用すればクレジットカード情報も保管されます。
こうした情報は、どれも医療機関や患者などへの脅迫、詐欺に利用することもできる情報です。病院にある様々な情報は、悪意の第三者にとって非常に価値が高い情報だといえます。
医療機関のシステムは、構造的に脆弱性が突かれやすい
病院や医療機関が利用しているシステムが、脆弱性を突かれやすい構造になっている点も、サイバー攻撃の対象となりやすい理由のひとつです。
医療機関には、外部の業者やネットワークにつながる多くのシステムや医療機器が導入されています。医療機関のシステムは、医療機器メーカーや、薬品・医療物資の提供事業者など、様々な外部業者とネットワークでつながっているのが一般的です。外部の業者の機器やネットワークと接続していると、医療機関だけで万全のセキュリティ対策を構築していても、提携する外部業者が不注意などでサイバー攻撃を受けて、ネットワークを通じて医療機関側にも被害が発生する可能性は否定できません。外部の業者とネットワークで情報をやりとりすることは不可欠ですが、それによってサイバー攻撃を受ける可能性が増加しています。
医療機関は人命を優先させる
医療機関は一般的に、患者の命を優先した判断を行うことも、サイバー攻撃を受けやすい理由となっています。
サイバー攻撃によって診療がストップすれば、医療を必要とする多くの人の健康に被害が生じる可能性もあります。場合によっては、人命が危機にさらされるような事態にもなりかねません。また、地域医療を一手に担う病院や、高度医療、救急医療を引き受ける病院の診療業務が停滞すれば、多数の医療難民を生むことも想定できます。
医療関係者は、こうした社会的責任の大きさと経営への影響を重視し、攻撃者から脅迫をされた際に、システム復旧を優先して要求に応じてしまいがちです。こうした心理によって、医療機関は攻撃対象に選ばれやすくなっているのです。
セキュリティ対策に十分な予算と人手を割けていないケースがある
病院や医療機関では、セキュリティ対策に十分な予算と人手を割けていないケースがある点も、サイバー攻撃を受けやすい理由といえます。
サイバー攻撃を受けた病院や医療機関の医療機器は、いわゆるレガシーシステムと呼ばれる古い機器だったり、バージョンアップなどの適切な対策が取られていなかったりすることも珍しくありません。その背景には、医療機関では医療サービスの提供に関する予算と人手が優先され、セキュリティ対策に詳しい専門的な人材やセキュリティ対策に十分な予算をかけられていないことなどがあると考えられます。
2022年に実施された四病院団体協議会の「セキュリティアンケート調査結果(最終報告)」によれば、「セキュリティ予算が十分でない」と回答した病院は5割弱で、半数程度の医療機関でセキュリティ予算の不足が問題になっていると予想されます。
こうした医療機関の傾向が攻撃者に狙われやすい要因になっているため、医療機関はセキュリティ対策を軽視せず、万全の対策を構築することが必要です。
病院・医療機関へのサイバー攻撃の手口
病院や医療機関へのサイバー攻撃の手口としては、「ランサムウェア」「サプライチェーン攻撃」「標的型攻撃」の3つが代表的です。この3つは、前年に発生した社会的影響の大きい情報セキュリティ事案から情報処理推進機構(IPA)がピックアップする「情報セキュリティ10大脅威 2024」の組織向け脅威でも、1位、2位、4位に入っています。
それぞれの攻撃内容の詳細について確認していきましょう。
ランサムウェア
ランサムウェアとは、身代金を意味する「ランサム(Ransom)」と「ソフトウェア(Software)」から成る造語です。パソコンやスマートフォンなどのデバイスをウイルスに感染させ、保存されているデータを暗号化して使えなくした上で、データを復元することと引き換えに身代金を要求します。
ランサムウェアに感染すると、パソコンの操作などができなくなり、攻撃者の要求が表示されます。ランサムウェアに感染させる手口は、不特定多数にメールでプログラムを送る手法が主流でしたが、2020年頃からはVPN(Virtual Private Network:仮想プライベートネットワーク)機器やネットワークなどの脆弱性を突いて侵入する手口も目立つようになりました。
サプライチェーン攻撃
サプライチェーン攻撃とは、企業同士のネットワーク上のつながりを利用して、ネットワーク内の一部の企業に攻撃してから、ほかの企業へサイバー攻撃を波及させていく攻撃手法です。
原料調達から製造、在庫管理、流通、販売まで、製品が消費者の手に届くまでの物の流れを「サプライチェーン」といい、部品メーカーや小売業者、配送業者など様々な企業が関わっています。サプライチェーン攻撃では、サプライチェーンを構成する企業のうち、セキュリティ対策が脆弱な中小の企業に不正アクセスを仕掛けて踏み台とし、セキュリティレベルの高い大きな組織にも連鎖的に攻撃を仕掛けます。
標的型攻撃
標的型攻撃とは、特定の個人や組織を狙って行われるサイバー攻撃です。
一見すると業務に関係するような、取引先や顧客を装ったメールにマルウェアを添付して送信し、開封させて感染させる仕組みです。標的型攻撃の手口は日々巧妙化しており、何度かやりとりを繰り返して相手を信頼させてから送付する手の込んだ方法もあります。大手企業や官公庁だけでなく、中小企業や地方公共団体も狙われているため、あらゆる企業、組織が注意しなければなりません。
- あわせて読みたい
病院・医療機関がサイバー攻撃を受けた際に発生する被害
病院や医療機関がサイバー攻撃を受けた場合、様々な被害が発生します。代表的な被害として挙げられるのは、下記の3点です。
情報漏洩
サイバー攻撃によって、病院で保有している様々な個人情報、医療情報が漏洩する可能性があります。
病院全体のシステムからだけでなく、医師やコメディカルが個人的に使用しているパソコンやスマートフォンから情報にアクセスできるようにしていた場合、個人を起点として情報が漏洩することもあります。
患者の個人情報が漏洩した場合、病院や医療機関の信頼性が著しく低下するだけでなく、病歴などの患者のプライバシーも侵害され、病名を特定した詐欺事件などの様々な二次被害に発展しかねません。
- あわせて読みたい
業務の中断・遅延
ランサムウェアなどによる攻撃でシステムがストップすると、病院や医療機関は業務の中断・遅延を余儀なくされます。
電子カルテが普及した結果、医療機関のほとんどは電子カルテで患者情報を管理し、検査、調剤、会計などの業務で使うシステムも医療システムに連携させています。これらのシステムにアクセスできなくなれば、診療を行うことができません。外来受付、会計などの様々な業務がストップするため、患者の生命、健康や経営へのダメージを生じる可能性があります。
システム復旧などの金銭的被害
システム復旧にお金がかかることも、サイバー攻撃に伴う被害のひとつです。
中でも、ランサムウェアによるサイバー攻撃は、システム内のデータをロックして身代金を要求します。データの復号・復旧は容易でないため、専門業者にそれらを依頼した場合、高額な費用がかかります。警察庁の「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、ランサムウェアの被害に遭った企業の半数以上では、復旧費用に500万円以上の費用がかかったということです。
病院・医療機関のサイバー攻撃の被害事例
これまでに様々な病院や医療機関が、サイバー攻撃に遭遇しています。主な被害事例としては、下記の6事例が挙げられます。
石川県の医療機関の被害事例
石川県にある大学付属病院において、1つの部門の個別のシステムがマルウェアに感染し、院内に感染が拡大しました。様々な部門の医療機器でシステムの挙動が不安定になり、診療業務に影響がおよびました。
原因はUSBメモリからのウイルス侵入で、ウイルス検索・駆除ツール導入後に行ったチェックでは1,000件近い不正プログラムが検出されています。
奈良県の医療機関の被害事例
奈良県の市立病院では、ランサムウェアによって電子カルテシステムが使えなくなる被害が発生し、復旧まで紙カルテでの診療を余儀なくされました。職員が私物のパソコンを院内ネットワークに接続したことが、原因のひとつと考えられています。
東京都の医療機関の被害事例
東京都多摩地域の中核病院で、職員の端末に不正アクセスがあり、端末内の情報が流出しました。流出した情報はメールボックス内の一部の情報にとどまりましたが、原因は職員がメールに添付されたファイルを不用意に開いたことによるマルウェア感染だったと判明しています。
福島県の医療機関の被害事例
福島県の大学附属病院では、ウイルス感染による検査機器の不具合が3年にわたって発生しました。CT撮影中に機器が再起動して画像を記録できないなど、業務への影響はありましたが、情報の共有不足や患者への影響は少ないと判断されたことで厚生労働省への報告はなされませんでした。
後で厚生労働省からの照会によって事実が発覚し、患者や関係者に謝罪する事態になっています。
徳島県の医療機関の被害事例
徳島県の病院では、「Lockbit 2.0」と呼ばれるランサムウェアがシステムに侵入しました。電子カルテや病院内のLANが使えなくなり、受付業務や処方などに支障が出ることから再来患者に限定して診療を継続しました。
オフラインで保存していたバックアップデータを基に復旧作業を進め、侵入の2日後には復旧しています。
大阪府の医療機関の被害事例
急性期を担う大阪府の総合病院で、ランサムウェアによるサイバー攻撃が発生し、システム障害で診療が停止しました。外部の業者のVPNに侵入したランサムウェアが、常時接続されていた病院側のサーバーに侵入したことが原因でした。
この被害により、新規患者の受け入れや手術を停止せざるをえなくなり、通常の診療体制に戻るまでに2か月以上かかったことから、10億円以上の被害が発生したと試算されています。外部業者の対策の甘さを突いたサプライチェーン攻撃の典型的な事例であり、自院のみならず関連企業や連携業者を含めたサプライチェーン全体の管理が必要であることを如実に示しています。
- あわせて読みたい
病院・医療機関が行うべきサイバー攻撃対策
病院や医療機関がサイバー攻撃による被害を防ぐためには、様々な対策を行わなければなりません。少なくとも、下記の5点の対策は実施しておくことが推奨されます。
VPN機器のセキュリティの確保
病院、医療機関のサイバー攻撃対策では、VPN機器のセキュリティを確保しておくことが重要です。
VPNは、インターネット上に仮想のプライベートネットワークを作り、物理的距離のある複数の拠点を仮想専用回線でつなぐ方法です。ウイルスに感染したパソコンがVPNを経由して社内ネットワークに接続されると、ネットワーク全体に感染拡大する可能性があります。VPN機器の脆弱性を狙ったサイバー攻撃が発生しているため、定期的なアップデートやパスワードの変更で、機器のセキュリティを維持しなければなりません。
多要素認証の導入
多要素認証の導入も、病院や医療機関などのセキュリティを高めるためには有効です。
多要素認証は、サービスにログインする際に、複数の要素を組み合わせて個人を認証する方法です。システムやネットワークへの侵入を防ぐ場合、パスワードだけではなく、SMS認証やアプリ認証、指紋や顔などで判断する生体認証といった要素を組み合わせたほうが、侵入のリスクを低減できます。
サプライチェーン全体でのセキュリティの確保
医療機器や医薬品などの調達で様々な外部業者と提携している病院は、自院のセキュリティ対策だけでなく、サプライチェーン全体のセキュリティ確保にも目を向けなければなりません。
外部業者のセキュリティ対策が甘いと、その企業とつながっているネットワークから自院のセキュリティも脅かされる可能性があります。自院と同じレベルのセキュリティ対策を実施するよう、提携業者のセキュリティ対策の状況も確認し、不足している部分があれば協力を求めましょう。
攻撃に速やかに検知・対処するシステムの導入
病院や医療機関のセキュリティ対策では、サイバー攻撃を防止する対策だけでなく、攻撃された際に速やかに検知・対処するシステムの導入も重要です。
ネットワークの出入口で攻撃を食い止めるファイアウォール、ネットワークを監視して攻撃の兆候を早期に感知して攻撃を防ぐIDSやIPS、ネットワークトラフィックを収集して脅威を検知するNDRなどが、基本的な対策として挙げられます。
被害発生時の対応計画の策定
病院や医療機関などのセキュリティ対策には、被害が発生した際の対応計画を策定することも含まれます。インシデント発生時の、被害状況の収集や共有の方法、関係者への連絡網の整備、復旧手順の策定などを事前に決めておきましょう。
セキュリティ対策を専門とする企業と契約し、万が一に備えておくとさらに安心です。
厚生労働省による「医療情報システムの安全管理に関するガイドライン 第6.0版」の策定
病院や医療機関の被害事例が増加していることを受けて、厚生労働省も「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」を公開して対策強化を求めています。同ガイドラインでは、経営陣、システム安全管理者、システム運用担当者のそれぞれが自らの役割ととるべき対策を理解できるよう、「概説編(Overview)」「経営管理編(Governance)」「企画管理編(Management)」「システム運用編(Control)」の4編に本文を分けて病院、医療機関のセキュリティ対策の考え方などがわかりやすく示されました。
また、ガイドラインを読み込んで対策する時間と人員が不足している医療機関に向けて、優先的に取り組むべき事項をまとめた「医療機関におけるサイバーセキュリティ対策チェックリスト」も公開されているため、どちらかに沿った対策を実施することをお勧めします。
ランサムウェアによるサイバー攻撃を受けた際の初動対応
ランサムウェアによるサイバー攻撃を感知したら、病院がとるべき初動対応は大きく分けて2つあります。
最初に行うのは、感染した端末をネットワークから遮断することです。パソコンのLANケーブルを抜く、Wi-Fiから切り離すといった方法で、物理的に接続を遮断しましょう。アクセスログやログイン履歴など、サイバー攻撃の証拠になる記録などが消失するのを避けるため、パソコンやネットワーク機器の電源は落とさないようにしてください。
端末の隔離が済んだら、警察に被害を報告します。ランサムウェアに感染した場合、ファイルやデータを暗号化されてしまい、元通りに復元する代わりに身代金を出すよう要求されることがありますが、身代金を支払ったからといって暗号化を解除してもらえるとは限りません。
身代金の要求は無視して、保存しておいたアクセスログなどの証拠を最寄りの警察署に提出して被害を報告してから、原因の究明、関係者への連絡、復旧に注力してください。
ガイドラインに対応できるシステムを導入して、サイバー攻撃に備えよう
病院を狙ったサイバー攻撃から情報資産を守るには、厚生労働省が提示している「医療情報システムの安全管理に関するガイドライン」に沿って対策を進めるのが基本です。しかし、人手不足でセキュリティ対策に十分な人員を割けない場合や、システムに詳しい担当者がいない場合などは、情報量の多いガイドラインを読み込んで対策を講じるのは難しいかもしれません。
そんなときは、ガイドラインに定められた各項目に対応できるシステムを導入すると効率的に対策を実施できます。
インターコムの「MaLion」シリーズは、ガイドラインの企画管理編で定められている「医療情報の持ち出し」や「医療情報システムに用いる情報機器等の資産管理」、システム運用編で定められている「情報管理 (管理・持出し・破棄等)」や「利用機器・サービスに対する安全管理措置」「ネットワークに関する安全管理措置」などに対応できる機能を備えたシステムです。
自院の担当者に過度な負担をかけることなく、確実にセキュリティ対策を進めたい病院や医療機関は、ぜひインターコムの「MaLion」シリーズの導入をご検討ください。
