This post is also available in: English (英語) 繁體中文 (繁体中国語)
「2021 Unit 42 ランサムウェア脅威レポート」によると、2020年にランサムウェアにもっとも狙われた業種は医療分野でした。同レポートでは「ランサムウェアオペレータは新型コロナウイルス感染症患者の急増に医療機関が大きなプレッシャーを受けている状況を知ってそこを突いてきている」と説明しています。要するに、「医療分野はシステムをロックアウトされるとどうにもならない、だからきっと身代金を支払うだろう」と見込んでいるのです。2021年5月にはFBIが「最近アイルランドの医療システムをダウンさせたContiランサムウェアグループは、前年も米国内の少なくとも16の医療機関やファーストレスポンダのネットワークを攻撃していた」とする警告を公開しました。
調査会社のComparitechは、2020年に米国の医療分野で発生した92件以上の個別ランサムウェア攻撃を追跡しました。同社によれば、ランサムウェア攻撃は前年比で60%増加していたそうです。それらの攻撃では、1,800万件以上の患者の記録を含む600以上の診療所・病院・組織が影響を受けていました。また攻撃にかかった対応コストは約210億ドルに達すると推定されています。私たちは、脅威アクターがいくつかの要因に基づいて医療機関を標的にしているものと考えています。
以下では、先に述べた医療分野への脅威について評価し、これらの組織の防御態勢と、これらの組織を標的とする脅威アクターについてわかっていることを検討してみます。
まず、ランサムウェアは「企業は基幹システムの持続的稼働を必要としている」という状況を当て込んで攻撃してきます。EMR(電子化された医療記録)やPACS(画像伝送システム)などのアプリケーションは、病気や投薬などの重要情報を含む患者の記録にアクセスするために「24時間365日」の利用が見込まれており、最も重要なアプリケーションといえます。これらのアプリケーションにアクセスできなければ患者への対応に差し障るのです。ですが、業務継続が求められるのは医療分野に限られません。ランサムウェアは業務の継続が必須とされるほかの分野にも激しい攻撃を仕掛けています。
脅威アクターは金銭にまつわる不正行為を動機としています。彼らは、請求書発行プロセスを悪用し、メールアカウントを乗っ取って正当な役員やスタッフを装って支払いを承認し、自らの口座に資金を送金するというのが一般的です。医療機関では、高額な医療サービスやソリューション、テクノロジの請求書が頻繁にやり取りされていますので、サイバー犯罪者はそうした医療関連の組織を「組織や患者から金銭資産を窃取する金づる」と見ています。
最後に、インターネットに面したクラウドデータベースやインターネットアプリケーションに保存されている機微データを誤って公開してしまうなど、データの不用意な開示は、あらゆる業界に影響を与える可能性があります(し、実際そうなっています)。医療機関では、ビジネスニーズや医療革新に応じてクラウドコンピューティングやサードパーティソリューションの導入が増えています。すべてをアウトソースしたかのように思われがちですが、これらのソリューションやプロバイダは「組織側がセキュリティ管理や監視をしっかり行うこと」を求めています。ですので、たとえばCortex Xpanseを使って確認すると、「お客様側の持つデータ資産がお客様が把握されているより実際は30%以上多い」ということがたびたび発生します。環境の複雑さが増せば攻撃対象領域も広がります。脅威アクターは、攻撃のスキを常にうかがっていますし、医療機関はうってつけの標的ですから、そうしたスキを洗い出して対策をしておかなければ、彼らに見つかって悪用される可能性が高くなります。
こうした脅威に対抗するためのベストプラクティスはたくさんあります。そのひとつに、機械学習機能を備えた次世代ファイアウォール(たとえばNGFW)や、XDR(Extended Detection and Response)プラットフォーム製品(たとえばCortex XDR)など、高度な機能を備えた製品を採用することがあげられます。
適切なバックアップやインシデント対応用のプロセスの実施に加え、さまざまな脅威から組織を守るために推奨される事項トップ10を以下にまとめますのでぜひ参考にしてください。
他の分野と比べて攻撃の標的にされやすい分野というものがあります。そうした分野での攻撃が成功すれば、そこからさらに攻撃の頻度は高まります。脅威アクターの標的選定戦略のひとつに、「金銭的報酬が得やすく、成功しやすい戦略がとれるか」ということが挙げられますが、この戦略をとった結果、医療機関はランサムウェアや ビジネスメール詐欺(BEC)、うっかりミスに関連した情報漏洩など、多くの攻撃にさらされています。
とくにランサムウェアは医療機関にとって最大の脅威です。ランサムウェアオペレータはデータ暗号化とその漏出を組み合わせた「二重恐喝」の戦術を使うことが多くなっているからです。「二重恐喝」で「データを公開するぞ」と脅されれば、迅速な復旧のための適切なバックアップやIRプロセスを実施している組織ですら、身代金の支払いに迫られかねません。
医療機関にとっては、エンドツーエンドのセキュリティニーズに確実に対応していくことが、根本的に重要というだけでなく、新型コロナウイルス感染症の拡大といった医療危機に際しては、必須となってきています。医療機関向けのサイバーインシデント対応と保護についてはこちらを参考にしてください。
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.