近年、日本の病院へのランサムウェア攻撃が増え、その規模や被害額がニュースでも報じられるようになりました。「病院が攻撃を受けるとどうなるのか?」「ランサムウェア攻撃を受けないための対策は?」といった不安を感じる人もいるでしょう。
本記事では、病院でランサムウェア攻撃が多発する理由や、実際に被害を受けた事例、被害を受けないための対策を紹介します。
ランサムウェアの攻撃を受けると、復旧コストの損失だけでなく、医療機関としての信用を失う可能性があります。手遅れになる前に、本記事の情報を参考にセキュリティ対策に取り組んでください。
ランサムウェアとは?
「ランサムウェア」とは、ネットワークに侵入してデータを暗号化し、データを復元する代わりに身代金(ランサム)を要求するソフトウェアで、「WannaCry」や「LockBit」などが知られています。近年は、ネットワーク機器やパスワードの脆弱性を突いて侵入するケースが増えています。
企業や大学、病院などが被害を受けると、身代金を支払うかシステムをゼロから再構築するかの2択を迫られ、いずれにしても膨大なコストを費やすことになります。近年、病院を狙ったランサムウェアが増加しており、サイバーセキュリティ対策は喫緊の課題と言えるでしょう。
ランサムウェアによるデータ暗号化の脅威については、以下の記事も参考にしてください。
なぜ病院を狙ったランサムウェアが増えているのか
病院がランサムウェアの標的になりやすいのには、以下のような理由があります。
患者の個人情報が多い
患者の個人情報や電子カルテは、サイバー犯罪者にとって価値が高いため、病院が狙われるケースが増えています。もし身代金を請求できなくても、個人情報を高額で売買することで利益を上げられるためです。
一方、ランサムウェアの攻撃を受けた病院側は、個人情報が流出してしまうため、仮にデータが復旧できたとしても、社会的信用はすぐには取り戻せません。
人命に影響するリスク・緊急度が高い
病院のシステムが止まることは、患者の生命をリスクにさらすことになり、病院にとって緊急度の高い問題となります。これを盾にして身代金を要求しやすいことも、病院がランサムウェアに狙われやすい理由の一つです。
また、「病院には潤沢な資金があるはず」という一般的な先入観から、標的にされやすい傾向にあることも考えられます。
セキュリティ対策が進んでいない
病院においては、医療システムが優先され、セキュリティ対策が後回しにされるケースが多いことも、病院がランサムウェアに狙われやすい理由と言えます。
被害の多くは、VPN装置(院内LANとインターネットの境界に置かれ、通信するデータの暗号化・復号を行う装置)のセキュリティソフトの未更新や、推測しやすいパスワードの使用など、初歩的な対応漏れが原因で発生しています。
病院がランサムウェア被害を受けた5つの事例
ここでは実際にランサムウェアの被害を受けた病院の事例を5つ紹介します。
2018年 奈良県・宇陀市立病院
2018年10月に奈良県の宇陀市立病院で発生したランサムウェア攻撃の事例では、サーバー8台が被害に遭い、電子カルテが暗号化されました。
正確な感染経路は不明ですが、職員または委託業者のルール違反が疑われているとのことです。古いバックアップからしかデータを復元させることができず、約半年後の2019年3月にようやく全面復旧しました。
2021年 徳島県・半田病院
2021年10月に徳島県つるぎ町立半田病院で起きたランサムウェア攻撃では、電子カルテの紛失と会計システムが利用できなくなる被害を受けました。
VPN装置の管理情報が外部流出したことや、脆弱なOS、短いパスワードの使用などが原因とされています。身代金の要求には応じなかったものの、修復業者に多額の代金を支払って、2022年1月に復旧しています。
2022年 大阪急性期・総合医療センター
2022年10月に大阪急性期・総合医療センターで発生したランサムウェア攻撃では、電子カルテが暗号化され、新規外来受付停止や一部患者を退院・転院させざるを得ない状況に至りました。
委託事業者のVPN装置を経由して侵入され、病院の基幹システムに不正アクセスされたのが発端とされています。
2024年 鹿児島県・国分生協病院
2024年2月に鹿児島県国分生協病院で起きたランサムウェア攻撃では、診療記録が暗号化されて利用できなくなったほか、個人情報が漏えいしました。
病院内の画像管理サーバーにセキュリティソフトが導入されておらず、パスワードも脆弱だったため、外部からの侵入を許してしまいました。システムを再構築することで対応し、全面復旧したのは2024年7月でした。
2024年 岡山県・精神科医療センター
2024年5月に岡山県の県立精神科医療センターで発生したランサムウェア攻撃では、電子カルテが利用できなくなり、患者の個人情報も流出しました。
この事例でも、VPN装置の脆弱性や推測可能なパスワードの使用、全ユーザーへの管理者権限付与などが原因となっていました。暗号化を免れた一部サーバーから新しいサーバーへデータを移管し、2024年12月に全面復旧しました。
病院が行うべき3つのセキュリティ対策
過去のランサムウェア事例を検証すると、多くの場合、病院側の対策漏れが原因で不正アクセスが起きていることがわかります。ほとんどの事例は、厚生労働省が公表している「医療情報システムの安全管理に関するガイドライン」で推奨されている対策でカバーできるため、以下で解説します。
職員にセキュリティ教育を行う
ランサムウェア被害の多くは、職員のセキュリティ意識の低さが原因で発生しています。例えば、以下のようなケースです。
- 短いパスワードを使用する
- 不審なメールの添付ファイルを開く
- 安易に外部記憶媒体を接続する
- リモート接続が多要素認証になっていない
病院で「システム利用ルール」を作成し、職員に定期的に閲覧を促すことで、セキュリティ意識を高めることができます。ほかに、標的型メール攻撃訓練を行うことも有効です。
定期的にバックアップを取る
万一のランサムウェア攻撃に備えて、定期的に共有サーバーやデータベースのバックアップを取り、最新の状態にしておきましょう。データ容量を圧迫しないために、日次のバックアップはこまめに差分を取り、週次または月次では完全バックアップをおすすめします。
なお、バックアップ先は同一ネットワーク上に配置しないように注意しましょう。この作業と並行して、復旧作業の手順も確認しておくことも重要です。
セキュリティ対策ツールを導入する
ランサムウェア攻撃の多くは、システム利用者の意識改善で抑止できますが、最終的な防御・検知にはセキュリティ対策ツールが有効です。以下で、効果の高いセキュリティ対策ツールを3つ紹介します。
脆弱性診断
脆弱性診断とは、ネットワークにおける既知の脆弱性を検知するためのツールです。
定型的なチェックが行えるため、セキュリティチェックの自動化には向いていますが、未知の脆弱性や複合的な攻撃に対するリスクには不向きです。
ペネトレーションテスト
ペネトレーションテストとは、攻撃する側の視点に立ってネットワークへの侵入を試みるテストです。
専門家が手作業で実施するため、複数の脆弱性を組み合わせた未知の攻撃にも対応できます。一方で、高度なスキルが求められるため、実施コストとシステムへの負荷が高くなる点に注意が必要です。
データの暗号化・暗号鍵管理
データの暗号化・暗号鍵とは、データを意図的に暗号化して資産を守る方法です。ランサムウェアに暗号化される前に、あえて自主的に暗号化することで被害を未然に防げます。
「D.AMO KE」は、カーネルレベルでの暗号化を実現し、個人情報や機密情報を含むファイルやデータベースファイルを安全に暗号化・管理することができます。
データ暗号化の手法は従来から存在しましたが、最近注目されているのが「暗号鍵の管理」です。暗号鍵の管理を徹底することで、外部からの復号(暗号化の解除)ができなくなります。
例えば「D.AMO KMS」は暗号鍵の生成から破棄までの統合管理、鍵へのアクセス管理や監視ができるツールです。病院のランサムウェア対策にご検討ください。
病院のランサムウェア対策には「D.AMO」がおすすめ
この記事では、病院がランサムウェア攻撃を受けた場合のリスクや国内の病院の事例、対策法について説明しました。
病院がランサムウェアの被害を受けると、復旧のために多額のコストがかかり、場合によっては数億円にのぼることも考えられます。対策として従業員の教育やバックアップの取得は有効ですが、大きな損害を受ける前の先行投資として、セキュリティ対策製品の導入をおすすめします。
「D.AMO KE」「D.AMO KMS」は、ランサムウェアに暗号化される前にデータを守る製品として有効です。病院の情報セキュリティを強化したい方は、お気軽にご相談ください。
