近年、国内で医療機関を狙ったサイバー攻撃による被害が多数報告されています。なかでもランサムウェアと呼ばれるウイルスを使った攻撃による被害は大きく、電子カルテの閲覧ができなくなるなどの事態も発生しました。今回はそうしたランサムウェアによるサイバー攻撃の手口や被害状況についてまとめつつ、サイバー攻撃を防ぐための対策などを詳しく解説します。
ランサムウェアとは?
まずはランサムウェアについて説明し、ランサムウェアによる被害状況も解説していきます。
ランサムウェアとは「身代金」を要求する不正プログラム
ランサムウェア(ransomware)はマルウェアの一種で、ランサムウェアに感染したコンピュータ内のデータを暗号化もしくはシステムをロックして使用できない状態にします。そして、攻撃者はデータを再度使用可能な状態に戻すことと引き換えに身代金(ransom)を要求するのです。
ランサムウェアの手口とは
ランサムウェアの主な手口は、「二重脅迫」と「人手によるランサムウェア攻撃」の2種類です。
二重脅迫とは、データ復旧のために身代金を要求するだけでなく、身代金を払わなければ盗み取ったデータをインターネットに公開するなどと脅迫するものです。攻撃者はデータを暗号化する前に盗取していることを証明するために、身代金を要求する段階で一部のデータを公開することがあります。
人手によるランサムウェア攻撃とは、攻撃者によってコントロールされたランサムウェアが組織内のネットワークを探索して重要なサーバーを管理下に置き、そこから一斉に組織内の端末やサーバーにランサムウェアを感染させる手口です。
ランサムウェアが添付されたメールを組織内へばらまいて感染させる比較的単純な手口だけでなく、外部からインターネットを介してリモート接続するときに使用する一部VPN(Virtual Private Network)機器の脆弱性を利用したり、RDP(Remote Desktop Protocol)の認証を突破したりしてランサムウェアによるサイバー攻撃が行われます。
団体や企業の被害状況
ランサムウェアによるサイバー攻撃の被害は、医療機関だけでなく世界中の団体や企業から報告されています。警視庁サイバー犯罪対策プロジェクトによると、2021年上半期でランサムウェアの被害にあった企業・団体数は61件で、2020年下半期の21件から大幅に増加しています。
また、警察庁がランサムウェアの被害に遭った企業・団体に対して行ったアンケート(有効回答数44件)によると、被害発生から1週間以内に復旧したものが19件(43%)、1週間~1か月を要したものが12件(27%)、1か月〜2か月かかったものが3件(7%)、2か月以上かかったものが2件(5%)でした。
調査・復旧にかかった費用の総額についての設問(有効回答数39件)では、100万円未満が8件(21%)、100万〜500万円が13件(33%)、500万〜1,000万円が3件(8%)、1,000~5,000万円が14件(36%)、5,000万〜1億円が1件(3%)という結果に。さらに感染経路については、31件中17件(55%)がVPN機器からの侵入、7件(23%)がリモートデスクトップから、4件(13%)が不振メールやその添付ファイルから、3件(10%)がその他となっていました。
2021年、徳島県の医療機関がサイバー攻撃の被害に
前述の通り、国内の医療機関でランサムウェアによるサイバー攻撃が相次いで報告されています。ここでは、徳島県の事例を基に医療機関がランサムウェアによる攻撃を受けた際の被害について解説します。
徳島県の公病院にサイバー攻撃が仕掛けられた
2021年10月31日、徳島県の病院がランサムウェアによる被害を受けました。この病院では、ランサムウェアに感染したことで電子カルテを含む全ての医療データが暗号化され、新規患者の受け入れ停止やカルテを手書きするなどの対応を強いられたのです。
会計システムも利用不可能になったため、システムが復旧するまでの間の診察料は後日請求という対応を取らざるを得ませんでした。
当初、当病院では攻撃者から要求されていた身代金は支払わず、新たな電子カルテシステムを構築する方針を発表していました。しかし最終的には外部のセキュリティ会社に依頼する形で、2021年12月29日にデータを復旧しました。
2022年1月4日からは、通常診療を再開しています。今回被害を受けた病院では、脆弱性が指摘されているFORTINET社製のVPN機器を利用していたことで攻撃者がシステムに侵入し、ランサムウェアに感染した可能性が指摘されています。
2016年以降、少なくとも国内の11の医療機関が同様の被害に
読売新聞の報道によると、国内で少なくとも11の医療機関が2016年以降にランサムウェアの被害を受けていたことがわかっています。2018年以降は電子カルテや会計システムなど院内の基幹システムの機能が停止する事態も発生しています。
こうした被害を受けた病院のなかには、救急搬送の受け入れや手術を停止せざるを得ない状況になったケースもありました。内閣はランサムウェアによるサイバー攻撃の巧妙化・高度化を受けて、2020年11月にランサムウェアによるサイバー攻撃についての注意喚起を行っています。
ランサムウェア感染を未然に防ぐ方法と感染時に役立つ備え
では、ランサムウェアによる被害を受けないためにはどうすれば良いのでしょうか?ここではランサムウェアの感染を防ぐ方法を紹介します。
感染を未然に防ぐ3つの方法
まずはランサムウェアに感染しないよう事前に取り組むべき対策について、具体的に見ていきましょう。
ルータによる感染対策
外部インターネットにシステムを接続するために必要なルータに対して、リモートデスクトップサービス等のポートが公開されている場合には、ランサムウェアの設置が行われやすく標的になりやすいです。特に、その脆弱性が公開され、既知となっているルータ等に対しては、集中的な攻撃が行われるリスクがあります。
電子カルテ・画像データなどの電子データを取り扱うコンピュータは、可能な限り外部インターネットとの接続を遮断するのが望ましいです。施設外のネットワークに存在するサーバーにバックアップを取る場合など、業務上ネットワークアクセスが必要な場合はVPNを利用しましょう。
また、ルータの脆弱性に関する情報収集も行うようにしましょう。ルータのメーカー保守期限の範囲内かどうかも把握しておく必要があります。
電子メールによる感染対策
電子メールの添付ファイルの開封やリンクをクリックすることで感染する場合もあります。
電子カルテの作成・閲覧などに用いるコンピュータでメールの送受信ができないようにしておくことで、悪意のあるメールの添付ファイル開封やクリックによるランサムウェアへの感染を防げます。
USBメモリなどによる媒体からの内部感染対策
USBメモリ等を不用意に施設内のネットワークに存在する端末へ接続することにより、他の端末に感染を拡大させてしまうことがあります。
クリニック内の電子カルテシステムに関連するコンピュータにはウイルス対策ソフトの導入が欠かせません。また導入しておくだけでなく、定期的にウイルス対策ソフトの更新を行うことも非常に重要なセキュリティ対策です。
ランサムウェアに感染した場合への備え
次に、ランサムウェアに感染してしまった場合でも最低限の日常業務を行えるようにしておくために準備しておくと良いことを紹介します。
オフライン環境でのバックアップデータ保管
ランサムウェアに感染してメインシステムで利用している電子データが暗号化された場合に備えて、オフライン環境でもアクセス可能なUSBメモリや外付けハードディスクなどの媒体にデータを保管しておきましょう。週1回〜月1回の頻度で実施することで、データを完全に喪失してしまう事態を防げます。
ランサムウェアに感染した場合を想定した訓練
ランサムウェア感染によってメインシステムが利用できなくなった場合に備えて、感染確認時の初期対応から事後処理までの一連の流れを事前に訓練しておくと良いでしょう。さらに、感染時に取るべき行動や復旧を依頼する際の連絡先などを記載した事業継続計画(BCP)を作成しておくのも有効な対策です。一人ひとりが取るべき行動を事前に把握できるため、迅速な対処につながります。
クリニックにおける感染時の対応と再発防止について
次に、ランサムウェアによるサイバー攻撃を受けてしまったときに取るべき行動とその後の再発防止策について解説します。
感染してしまった場合の対応
ランサムウェアによるサイバー攻撃を受けて電子カルテなどにアクセスできなくなってしまった場合は、まずはネットワークを切断します。その後、復旧作業への影響を最小限にとどめるため、不用意な行動はせずに組織内のシステム管理責任者やシステムを提供している外部業者へ連絡しましょう。
システムの復旧作業は、事前に取り組んでいた対策によって大きく異なります。バックアップとしてUSBメモリなどにデータを保存していた場合は、それを利用することでシステムの復旧が可能です。
一方、十分な対策を講じていなかった場合は、専門業者に依頼をしてもシステムの復旧までに数か月を要する場合があります。システムが復旧するまでは紙媒体でカルテを残す必要があるなど、日常業務の負担が大きくなるでしょう。
再発防止のためにできること
インターネットからアクセス可能なサーバーを最小限にすることや、脆弱性が指摘されている機器やソフトウェアの使用を控えるなど、ランサムウェアの感染経路が明らかな場合はそれを避けてシステムを構築しましょう。
また、バックアップを用意するとき、少なくとも一つのバックアップデータは外付けハードディスク・DVD-RAM・USBメモリなどの媒体を用いてオフラインで保管すると良いでしょう。
医療機関へのランサムウェアによるサイバー攻撃が相次いで報告されていることを受け、厚生労働省はクリニックを含む医療機関に対して、サイバー攻撃への対策状況の実態調査を行う意向を示しています。
データのバックアップ体制を早急に整えるなど、医療機関の適切な情報セキュリティ対策が求められているのです。
本記事のポイント
1.ランサムウェアによる医療機関へのサイバー攻撃が多発
2.サイバー攻撃はVPNシステムの脆弱性を利用して行われた
3.ランサムウェア感染から復旧までには多大な費用と期間を要することも
4.サイバー攻撃対策としてバックアップを用意することが重要