サイバー攻撃の被害は世界中で増加傾向にあり、日本も例外ではありません。また一般企業を標的とした攻撃だけでなく、行政や教育機関、そして医療機関への攻撃も頻繁に発生するなど、いかなる組織においても徹底したセキュリティ対策が求められています。
今回はそんな従業員のセキュリティリテラシー向上が求められる背景や、どのようにリテラシーを高めれば良いのかについて、そのアプローチをご紹介します。
そもそもランサムウェアは、感染したPCやサーバーの機能をロックし、ロック解除と引き換えに身代金を要求するという、極めて悪質なマルウェアの一種です。
IT化が進んだ今日において、組織のシステムがロックされるというのは極めて危機的な状況であり、攻撃者がロックを解除しない限りはシステムを復旧することが難しく、一度攻撃を受けてしまうと相応の被害は免れないのが現状です。
そのため、ランサムウェアによる攻撃を回避するためには、徹底した事前のセキュリティ対策が求められます。
サイバー攻撃はこれまで個人に対する攻撃が一般的とされてきましたが、近年は大企業をはじめ、医療機関や行政といった公的機関も標的となるケースが増加傾向にあります。
医療機関は大手企業に比べると収益性に劣るため、あまりお金を持っていないようにも見られますが、なぜ狙われやすいのでしょうか。
そもそも、日本の医療機関は多くの電子機器を使用する現場でありながら、ITシステムのセキュリティ対策は一向に進んでいないのが現状です。
2020年に発表された日医総研の調査結果によると、調査に回答した医療機関の半数前後がPCをはじめとする情報端末の管理ルールが明文化されていないなどの問題を抱えており、重大なセキュリティリスクにさらされている様子がうかがえます。
参考:https://www.jmari.med.or.jp/download/RE084.pdf/
基本的なセキュリティ対策や運用ルールの策定を行わなければ、ランサムウェアの攻撃リスクを下げることはできません。高度な対策を実現するためにも、現状を重く受け止める必要があります。
医療機関は一般企業に比べ、個人の健康情報という極めて機密性の高い個人情報を個別に管理しています。最近では電子カルテなどで一元管理できる仕組みも整いつつありますが、基本的なセキュリティ対策が行われていなければ、かえって患者のプライバシーが脅威に晒されます。
サイバー攻撃で医療機関が標的となるのは、外部に流出しづらい個人情報を多く抱えており、違法取引の現場で高く買い取られているためです。
医療機関のシステムがランサムウェアの攻撃でダウンしてしまうと、最悪の場合患者の治療や手術を行えなくなる場合もあります。このようなシーンでは患者の命と身代金を天秤にかけている暇はなく、速やかに身代金を支払うことで問題を回避しようという選択が採られます。
一般企業では身代金を支払わずに自力で復旧するという選択肢もありますが、十分なバックアップが確保されていない医療機関では、身代金を支払うという選択を選ばざるを得ません。
最近では新型コロナウイルスの影響により、病院が本来の機能を発揮できていなかったり、医療現場がひっ迫していてセキュリティ対策どころではないという実情もあります。
そのため、セキュリティの強化が行き届いていない今のうちに医療機関に攻撃を仕掛け、混乱に乗じて身代金や個人情報を取得しようとする攻撃者が増えているとも考えられます。
実際に起きた、日本の医療機関に対するサイバー攻撃の事例もここで確認しておきましょう。
徳島県西部の小さな町立病院で起こったのが、大規模なサイバー攻撃です。攻撃者からプリンターを経由してメッセージが届いた後、院内の電子カルテが使用不可となり、業務の遂行が極めて困難な状況に陥りました。この際用いられたのはランサムウェアで、身代金を支払わなければ全てのデータを破壊するという脅迫が届いています。
バックアップも含め、院内のデータは全て暗号化されてしまい、診察から会計まであらゆるシステムもダウンしたことで、手の施しようがない状況下にあったのです。
8万5,000人にのぼる患者の通院記録も全て確認することができず、手動での診察や記録に多大な時間を要することとなり、病院の業務効率は極めて低下することとなりました。
参考:https://www.asahi.com/articles/ASQ6N6QFPQ6NPTLC01W.html
上記と同じく徳島県内にある鳴門山上病院でも、2022年6月にランサムウェアの被害が確認されました。手口も上述の事例と全く同じタイプのもので、プリンターから脅迫文章が自動で出力された後、院内のPCが再起動し、電子カルテの機能が停止しました。
現在はバックアップから患者データの復旧を進めているものの、全て元通りとするのは困難であると考えられます
参考:https://www3.nhk.or.jp/news/special/sci_cul/2021/11/special/story_20211119/
上記のようなランサムウェア被害は、あらゆる組織でリスクを抱えているため、少しでも被害に遭う可能性を低くするための取り組みが必要です。
最も重要かつ迅速に実施できるのは、PCなどのデバイス運用ルールを策定し、徹底して厳守することです。
ランサムウェアなどの外部からの脅威は、内部での運用ルールを徹底していれば、その攻撃リスクを大幅に回避することができます。インターネットをみだりに利用しない、外部ストレージの利用を控える、端末を外部に持ち出さないなど、ルールの厳格化が必要です。
電子メールは、ランサムウェアの感染リスクが高い情報共有手段の一種です。添付ファイルの展開で感染することもあれば、メールを開くだけで何らかのプログラムが展開されることもあるなど、多くのリスク運用時にはらみます。
院内では専用のSNSやチャットツールを利用するなどして、メール利用による被害を最小限にとどめましょう。
バックアップサーバーは、サイバー攻撃対策が施されているものでなければランサムウェアの被害から守ることはできません。多くの病院ではバックアップが用意されているとはいえ、水害や地震などの自然災害を想定しているものであるため、サイバー攻撃にまで考えがおよんでいないケースもあります。
院内のバックアップ環境を見直し、サイバー攻撃対策が施されたものへの乗り換えを推奨します。
医療機関はランサムウェアの標的と見なされており、複数の日本国内の病院がその被害を被っています。ランサムウェアの攻撃を一度受けると、病院のシステムはダウンし、多額の身代金や復旧費用が必要となるため、事前に回避しなければならない脅威です。
医院のセキュリティ対策を見直し、必要な強化施策を検討しておきましょう。
