新型コロナウイルスの勢いが収まると思いきや、6月2日には東京都で「東京アラート」が宣言されるなど、コロナの影響がいまだに根強く私たちを脅かしています。多数の方がこれに立ち向かうべく努力しておりますが、その中でも最も前線に立っていると言えるのは医療機関の方々でしょう。しかし、この未曽有の事態において精を尽くしている医療機関を狙ったサイバー攻撃もまた、増加しているのです。
最近、医療機関では電子カルテなどICT化が急速に進んでおり、多数の個人情報を抱えるようになりました。つまり、ハッカーのターゲットを多数保有しているのです。しかも、コロナに立ち向かうため疲弊した医療機関は、セキュリティを安全に確保する余力すらない事が多く、ハッカーの格好の獲物となりつつあります。今回は、医療機関に対するサイバー攻撃の背景とその詳細、そして対策をお伝えします。
医療機関のICT導入・情報化
すでに日本では、政府レベルで医療機関にICTを導入し、情報化する取り組みが進められています。総務省によると、①効率化等により医療従事者の業務負担を軽減させるとともに、②医療の質や安全性を高め、③患者に最適な医療を提供することが緊急な課題であり、これらの問題を解決するため、医療機関の情報化が勧められる必要がある(引用: 総務省)とのことです。そして総務省は、医療機関の情報化を基盤に、次の図のような環境を構築する方針です。
引用: 総務省
つまり、医療機関の情報化によって、医療サービスの効率を向上させるとともに、個人の情報を有効に活用するという事です。今までは分散されていた個人の様々な医療情報を一つのプラットフォームにまとめ、本人同意のもとネットワーク化された医療機関でそれを利用するという形が、政府が描く未来像です。これにより、個人はニーズに合ったサービスを受けることができ、医療機関はさらに効率的に医療サービスを提供できるようになります。実際、医療機関の情報化に対する取り組みの一つである電子カルテは、すでに幅広く普及されています。
引用: 厚生労働省
平成29年(2017年)に至っては、全病院のほぼ半数が、そして大規模だと言える病院の8割以上が電子カルテを導入しています。規模が大きい病院ほど、ICTの導入による情報化が進んでいるという事がわかります。
医療データにセキュリティが必要な理由
ICTの導入による情報化とは、前述したように、保有する情報を電子化して有効に活用することを示します。つまり、電子カルテのように、以前には書類に記録され、保管されたデータをハードディスクやサーバに記録・保管し利用するのです。よって、総務省の構想のように、情報化は医療機関の効率化において不可欠だと言えます。しかし、電子化された医療データは常に流出され、悪用される可能性を持っており、医療機関及び個人情報を含んだデータを狙った攻撃がますます増加している状況です。つまり、医療機関の情報化を実現するには、セキュリティ対策が先行される必要があります。
10億件を超える患者の画像が米国の医療機関からオンラインに流出
毎日、患者個人の健康情報を含む何百万もの新しい医療画像がインターネットに流出している。 数百という病院、クリニック、画像センターが、セキュリティ上問題があるストレージシステムを使用しており、インターネット接続環境と無料でダウンロードできるソフトウェアがあれば、誰でも世界中の患者の10億以上の医療画像にアクセスできる。…
患者への影響を調査したThe Mightyによると、流出した医療情報により、患者が保険詐欺や個人情報の盗難にあうリスクが高くなる。また、データの流出によって、患者と医師の信頼関係が崩れ、患者が情報共有をためらう傾向が高まりかねない。…
医療記録と個人の健康データは、米国の法律上高度に保護されている。…法律はまた、セキュリティ上の瑕疵があれば医療提供者に責任を負わせる。法律違反には厳しい罰則が科せられる。
引用: TechCrunch Japan
上の記事の様に、アメリカでは医療機関の情報流出を厳しく取り締まっています。しかし、依然セキュリティ対策が施されていない医療機関が多く、個人情報の流出による被害も継続して発生しています。さらに、コロナの蔓延により疲弊した医療機関を狙った攻撃も増加しており、それによる被害も多発しています。
コロナ禍に付け入るサイバー攻撃 狙われる医療機関は守りの徹底を
新型コロナウイルス流行の混乱に付け込もうとするサイバー攻撃が止まらない。今、標的にされているのは治療の最前線に立ち、ただでさえ窮状に追い込まれている医療機関。病院がランサムウェア(身代金要求型マルウェア)に感染する被害も確認されている。
Krebs on Securityによると、欧州最大の民間病院運営会社Fresenius Groupは、ランサムウェア攻撃に見舞われて社内のコンピュータが使えなくった。業務には影響が出ているものの、患者の診療は継続しているという。…英国家サイバーセキュリティセンター(NCSC)と米国土安全保障省のCISAが共同で5月5日に発令した警戒情報によると、医療機関や国際保健機関を狙った大規模な「パスワードスプレイ」攻撃が、各国で多発しているという。
引用: ITmedia NEWS
つまり、もろ刃の剣のごとく、ICTの導入による医療機関の情報化は、利益と被害を同時に与えると言えます。情報を流出した医療機関は、以後の信頼性において大きな被害を受けるでしょう。一方、その医療機関を利用した患者たちもまた、直接的な被害を受けます。無論、医療機関を攻撃する者が非常識だという事は当然ですが、攻撃者の倫理感を非難するだけでは、何も防げません。適切なセキュリティ対策が必須です。
医療機関が備えるべきセキュリティ対策
では、医療機関はどのようなセキュリティ対策を施すべきなのでしょう。当たり前の対策としては、予測しにくいパスワードの設定および管理などがありますが、ここではデータベースという環境に適切なセキュリティ対策をご紹介します。
WAF
WAFとは、Webアプリケーションファイアーウォールの略であり、その名の通りWebアプリケーションを保護する役割を果たします。データのことやデータベースのことを話していたのになぜWebアプリケーションを、と疑問に思われるかもしれません。Webアプリケーションは、ネットワーク上でデータベース内のデータを閲覧し、利用するためのツールになります。なので、これが攻撃された場合、データベースに対する権利を乗っ取られるといっても過言ではないのです。医療機関の情報化は、データの電子化だけではなく、そのデータをネットで共有し活用することも含みます。つまり、Webアプリケーションを必ず経由することになるでしょう。すなわち、データを利用するWebアプリケーションもまた、守られる必要があるということです。
暗号化
暗号化は、権利を有する物だけがデータを閲覧できるようにする過程です。WAFを導入したとしても、全ての脅威が排除され、データが流出される恐れが無くなったとは言えません。Webアプリケーション経由ではなくても、データはどこで奪取されるかわからないのです。その場合、データが奪取されたとしても利用されないようにする必要があります。データを暗号化する事によって、万が一データが奪取されたとしても、悪意的な利用を防ぐことができます。また、流出事故が起こったとしても、その内容が解析できないので、大きな被害につながりません。
ブロックチェーン
ブロックチェーンはビットコインなどの暗号紙幣としてよく知られていますが、正確には「分散型ネットワークを利用したデータベース」だと言えます。全てのデータは連結された鎖に結びつかれ、その鎖をネットワークに存在する全てのユーザが共有することによって、改ざんされにくく高い信頼性を持つデータ構造を構築することができます。近年、医療機関の情報システムにブロックチェーンを導入することに関する議論が活発に行われており、すでにエストニアでは政府によって健康情報システムに取り入れられるまでに至っています。そう遠くない未来には、全ての医療機関でブロックチェーンに基づいた情報システムが稼働されるのかもしれません。
最後に
コロナによって、人類全体が相当な危機に陥った事態の中、人の命を救うべく努力している医療機関を狙うという事は、モラルの欠陥というレベルを超えた物でしょう。しかし、攻撃者の道徳観だけを非難し、患者の情報を保護しないという事もまた、責任を果たしているとは言い難いです。苦しい状況ですが、「備えあれば憂いなし」という言葉通り、一定の対策をとっておきましょう。
