サイバー攻撃

サイバー攻撃とは

サイバー攻撃とは、悪意のある第三者が情報システムやネットワークに侵入し、機密情報や個人情報を盗む、またシステムの破壊や改ざんを行う行為のことを指します。
サイバー攻撃は、医療・ヘルスケア業界においても深刻なリスクとなっています。
医療ヘルスケアDX実現においてもサイバー攻撃に対する対策は必須となっています。

サーバー攻撃の目的

サイバー攻撃を行う目的は攻撃者により異なります。
愉快犯的や目的や、技術力を誇示するような自己顕示欲を満たす目的で行われる場合もあります。
一方で、金銭の収奪、機密情報や個人情報の窃取、システムの破壊、など対象の組織・個人の活動を妨害することを目的とものが増加傾向にあります。
さらに最近では、大阪急性期・総合医療センターや徳島県つるぎ町立半田病院など医療機関を狙ったサイバー攻撃が多数報道されています。
病院をはじめとした医療機関がサイバー攻撃の対象となりやすい状況であることには以下の理由があります。

１．価値の高いデータを扱っている

医療機関では、患者の個人情報を始めとした重要度・気密性の高い情報を大量に扱っています。
これらの情報を窃取することで、非合法の情報を扱ういわゆる「闇サイト」などにおいて高額で取引されるおそれがあります。
また医療機関にとっても業務の根幹となる重要な情報であることから、データやシステムを守るために攻撃者からの金銭の要求に応じてしまいやすいということも理由となります。

２．攻撃による被害が大きい

医療機関では、患者の生命に及ぶ医療機器を多く扱っています。これらの機器がサイバー攻撃により所定の動作ができなくなった場合の被害が甚大となる可能性があります。
このことも、医療機関が攻撃者からの金銭の要求に応じてしまいやすい理由となります。

３．セキュリティ対策が遅れている

同様に重要度の高い情報を扱っている大企業と比較して、医療機関は資金力や専門人材の不足から、取り扱う情報の重要度に対してセキュリティ対策が不十分である傾向があります。
また、従来からのシステムでインターネットから隔離されていることを前提とした対策を行っているような場合において、外部からの防御は重厚であるものの、システムの広がりによる想定外の侵入経路や攻撃手法により突破された場合の影響が大きくなるケースがあります。
以上のような理由を考えると医療機関のみでなく、電子薬歴システムを持つ薬局や、介護データ等を持つ介護事業所などもその攻撃対象になってくると考えられます。

サイバー攻撃の種類

サイバー攻撃には様々な手口があり、技術の変遷とともに日々新たな手法が編み出されています。
攻撃方法を大きく分類すると「外部からのシステムへの攻撃」 「不正アクセスによるシステム内部への侵入」「コンピュータ内部での不正なソフトウェアの実行」が挙げられます。
代表的な攻撃の手口を以下に説明します。

１．DoS/DDoS攻撃

DoS（Denial of Service attack）は、「サービス拒否攻撃」と訳され、インターネット等を通じてWebサイトやサーバーに過剰なアクセスを行い、システムの許容以上の負荷をかけて停止させることでサービスを妨害する攻撃です。
DDoS（Distributed Denial of Service attack）は 「分散型サービス拒否攻撃」 と約され、アクセス元が複数（一般的には不特定多数となることが多い）となり、攻撃の遮断を難しくします。
国や自治体、企業の公式Webサイトなどへの攻撃により、サイトが閲覧できなくなるという事例が多く報告されています。

２．不正アクセス

ネットワークやアプリケーションの脆弱性（既知もしくは未知の不具合、設定の不備等）をついて攻撃対象のシステム内部に侵入する、システムへのログイン情報を不正に入手するなどにより、機密情報や個人情報の窃取や改ざん、システムの破壊を行う攻撃です。
Webサーバーのソフトウェアの不具合をついたWebサイトの改ざんや、不正に入手した管理者アカウントを用いた個人情報の窃取、近年ではIoT機器の広まりに伴い、これらの機器への侵入による盗聴・盗撮や情報漏洩などの事例が報告されています。

３．マルウェア

マルウェア（Malware）とは、「悪意がある（malicious）」と「ソフトウェア（software）」を組み合わせた言葉で、一般的に悪意のあるソフトウェアの総称として使われます。
「コンピューターウイルス」「ワーム」「トロイの木馬」「スパイウェア」や、近年増加している「ランサムウェア」も含まれます。メールやWebサイト、USBメモリなどの媒体を経由して攻撃対象のコンピューターに侵入し、データやプログラムの破壊や窃取、改ざんを行います。

４．ランサムウェア

ランサムウェア（Ransomware）は「身代金（ransom）」と「ソフトウェア（software）」を組み合わせた言葉で、マルウェアの一種です。
標的のネットワーク、サーバーなどに侵入してシステム内部のデータを暗号化・窃取して利用できないようにして、データの復元と引き換えに「身代金」として金銭を要求します。
企業や医療機関での被害が報道されており、データが閲覧できない、システムが利用不可になることで業務停止を余儀なくされる影響が確認されています。

５．標的型メール攻撃

メールを用いた攻撃手法で、特定の企業や役職者を標的として、不正なメールとは気づかれにくいように件名・文面を細工したメールを送り、添付したマルウェアを実行させる手法です。
普段業務上のやり取りを行っている相手になりすまして送信元の氏名や文面を用いることで警戒せずに攻撃を受け入れることを目的としています。

６．サプライチェーン攻撃

重厚なセキュリティ対策が行われている大企業を直接攻撃するのではなく、比較的セキュリティ対策が薄い子会社や取引関係にある関連企業を攻撃してシステムへ侵入し、関連企業から業務上のサプライチェーンに連なる大企業へと攻撃を波及させる手法です。
中小企業でも被害に遭いやすく、自らが取引先に対する攻撃者となりうることから、サイバー攻撃の被害を拡大させない対策も求められます。

サイバー攻撃への対策

サイバー攻撃のリスクを軽減するためには、技術的な対策のみに限らずシステム運用面での対策が必要です。
重要と考える対策を説明します。

１．個人単位での対策

組織的な対策がなされていない場合であっても、システム利用者単位で行える基本的な対策として、ウイルス対策ソフトウェアの導入、OSやソフトウェアの更新プログラムの適用を行うこと、不審なメールやリンク・Webサイト、ファイルは開かないことが重要です。
組織においては従業員に対するセキュリティ意識の向上を図るための情報共有や教育を行い、個人単位での対策を確実に行う体制を作ることが重要です。

２．システムへのセキュリティ対策

システムに対してはファイアウォールや侵入検知システム、暗号化技術などの直接的なセキュリティ対策の導入、業務アプリケーションに対するログイン方法の強化などのセキュリティ機能の搭載が必要です。
また、不正アクセスに対策できていることを確認するために第三者機関による「脆弱性診断」を受けてシステムのセキュリティ上の問題点の発見を行うことも重要です。

３．攻撃の影響を最小化するための対策

サイバー攻撃を受けた場合に、即座に対応策を講じる必要があります。侵入経路の特定、被害範囲の評価、被害を最小限に抑えるためのシステムの隔離などが行えるように、事前にシステムの稼働状況の記録（ログの収集）、システム構成の可視化が必要です。また、適切なバックアップの取得と、障害からの復旧計画を準備することも重要です。

４．法的規制の遵守

医療・ヘルスケア業界においては、患者の機微情報を取り扱うことから医療・介護従事者に対する法律、個人情報保護法、e-文書法といった法律や規制により定められた法的要件を満たすための、管理・手続きを講じる必要があります。
医療・ヘルスケア業界に対するセキュリティ対策の重要性から、厚生労働省・総務省・経済産業省からは求める対策要件を提示した「医療情報ガイドライン（３省２ガイドライン）」が出されており、まずは同ガイドラインに沿った対策が重要であると考えます。
メディエイドでは、サイバー攻撃への対策を行うための医療・ヘルスケア領域でのセキュリティ支援サービスを提供しています。詳細は、サービスサイトにてご紹介しております。