電子カルテが危険!医療機関へのサイバー攻撃

事業運営リスク

近年、多くの病院で従来の紙のカルテから、電子カルテへと切り替えています。
しかし、それに伴って医療機関を狙うサイバー攻撃も増加しているのです。
相次いで起こるサイバー攻撃とは、どのようなものなのでしょうか?
医療機関へのサイバー攻撃について、解説します。

なぜ、医療機関が狙われるのか

近年、医療機関が身代金要求型コンピューターウイルスの「ランサムウェア」による攻撃を受けることが増えています。
実際に、2021年10月には徳島県の病院でランサムウェアによって電子カルテにアクセスできなくなり、新規患者の受け入れを中止することになっています。

この時は、およそ8万5千人分のデータにアクセスできなくなり、そのデータの復元と引き換えに身代金を要求されたのですが、その交渉には応じずに自力でサーバーを復旧して翌月には一部の診療科を再開しており、およそ2か月後にはほぼ全面復旧しています。

ただ、その間は一部の手術も出来なくなり、救急搬送も受け入れることができませんでした。その病院だけではなく、地域医療に対して甚大な影響が出ることとなったのです。

ランサムウェアというのは、コンピューターに感染してその中のファイルをすべて暗号化することで、使用できなくするというウイルスです。
そして、そのデータをもとに戻してほしければ身代金を払えと要求するのです。

これはマルウェアと言われるコンピューターウイルスの一種で、身代金を支払わなければデータを戻さないだけではなく情報を晒す、と脅すこともあります。
しかし、たとえ身代金を支払ったとしても、データが確実に戻り晒されない、という保証もないのです。

以前、ランサムウェアと言えば様々な企業を対象としてランダムにばらまかれていました。
しかし、近年では特定の企業や機関を狙う標的型攻撃が増えていて、特に医療機関が狙われるようになったのです。

こういった攻撃は、2016年頃から世界中に現れています。
そして、日本でも2018年以降は医療機関などを狙われることが増えました。
詳しい件数は分かりませんが、2021年になって急増しているとも言われています。

では、なぜ医療機関が狙われるようになったのでしょうか?
医療機関では、患者の個人情報や電子カルテ、診療記録などの重要なデータを扱っています。
そのため、ランサムウェアの攻撃は深刻化しやすいのです。

特に、最近の医療機関は新型コロナウイルスの影響により、患者への緊急対応も増えて現場は常にひっ迫していて、人手も足りません。
そこに攻撃することで、早くデータが必要となり身代金の要求にも応じるのではないか、と思われるからです。

その一方で、犯行グループは病院の医療機関をわざわざ狙うというよりも、セキュリティに隙があるシステムを無作為に発見して攻撃しているという見方もあります。
理由がどちらであるにしろ、医療機関が狙われやすいということに違いはありません。

厚生労働省による新たな指針

こういった状況を受け、厚生労働省では医療機関に対してセキュリティ対策のガイドラインの改正を行いました。
そこでは、ランサムウェアを想定した対策も含まれています。

感染してしまった場合に被害を拡大させないために、電子カルテなどのバックアップデータはネットワークから隔離された独立保管をすることなどが明記されています。
また、その他にもバックアップの周期や保管する媒体の種類、複数世代での管理等についても考慮した上で対策を講じる必要があるとも書かれています。

ネットワークに接続されているバックアップデータは、ランサムウェアに感染しやすいということも事例から分かります。
もしもバックアップデータが暗号化されてしまうと、その復旧には長い期間と高額な費用がかかることになるでしょう。

サイバー攻撃による被害を最小限に抑えるためには、いくつかのセキュリティ対策が必要とされます。
まず、医療情報システムデータの出入り口対策に、ファイアウォールや複数のセキュリティ対策を一元化する統合脅威管理のUTM、不正侵入防止システムのIDS・IPSなどを設置することが求められます。

医療機関の端末や公開サーバーには、エンドポイントセキュリティのEDRやふるまい検知などを実施しましょう。
不正利用やふるまい検知などの内部対策には、医療情報システムへのアクセスを二要素認証にしたり、パスワードを強化したりする必要もあるでしょう。

また、ネットワークスイッチの脆弱性をついて攻撃してくるゼロデイ攻撃への対策としては、ネットワーク分離やネットワークスイッチのパッチ運用などを実施します。
これらの対策に加えて、スタッフに対してのセキュリティ教育をアップデートして最新の状況にも対応できるようにしておくことが重要となります。

また、今回の改正ではランサムウェアについての対策が加わったのですが、2022年になってからはEmotetというマルウェアが増えてきています。
これは既存のマルウェアの中でも、特に感染力が高いと言われています。

やり口としては、従業員に成りすましてメールを送り、そこから感染を広げて重要な情報を盗み取っていくというものです。
医療機関にある患者の情報や治療履歴などは、重要で資産価値が高いと言われるデータなので、この対策も必要でしょう。

しかし、ランサムウェアだけを警戒し、Emotetへの対策はしていない医療機関は少なくないため、今後攻撃対象とされることは増えていくのではないでしょうか。
ランサムウェアと違って業務を停止しなくてはならないものではないのですが、データの流出は現代社会において大きな問題となります。

厚生労働省の「医療情報システムの安全管理に関するガイドライン」では、今回加わったランサムウェア以外にも従来のような情報を抜き取るウイルスへの対策が書かれています。
ランサムウェア対策だけではなく、それ以外のウイルスへの対策についてももう一度見直しておきましょう。

まとめ

医療機関では、近年電子カルテへの切り替えが進められています。
これまでと比べ、離れた場所からも確認できることから非常に便利であり、会計との連携なども可能で業務も効率的に進められるようになりました。
しかし、ネットワークを用いるものなのでサイバー攻撃への対策などは必要となります。
ランサムウェアを始め、様々なサイバー攻撃への対策を怠らないようにして、業務が滞らないように気を付けましょう。