初心者のためのランサムウエア対策

ITの活用が進む現在、徳島県内の町立病院がランサムウエア（身代金要求型ウイルス）攻撃を受けたことからも分かるように、医療機関がいつサイバー攻撃の対象になってもおかしくはない状況にある。そこで今号では、サイバー攻撃とはどのようなもので、各医療機関では今どのような対策ができるのか、株式会社Blue Planet-worksセキュリティアドバイザーの鴫原祐輔氏に解説してもらった。

　2019年7月某日、米国アラバマ州にあるスプリングヒル・メディカルセンターでは、突如として猛威を振るったランサムウエア（身代金要求型ウイルス）によって診療や治療等に用いる医療システムが使用不能となり、現場には大きな混乱が生じていました。
　この騒動の中、胎内でへその緒が首に巻き付いてしまい、脳への損傷が懸念される胎児とその母親が緊急搬送されてきました。しかし、この状況下では医療従事者達も適切な措置が講じられず、胎児は脳に損傷を負い、その8カ月後に最悪の結果をもたらすこととなりました。この悲劇は、サイバー攻撃が救急医療を遅らせ、患者の死につながってしまった事案として全世界に知られることとなりました。

　我々がインターネットを日常的に利用できるようになり、その恩恵を享受する一方で、サイバー攻撃は激化し続けています。もはや日本においてもサイバー攻撃は対岸の火事ではなくなっており、今そこにある危機として向き合う必要があります。
　メディア等を通じて目に触れるサイバー攻撃の被害状況を見て分かるとおり、今や個人が"やらかした"問題として片付けることができなくなっています。サイバー攻撃によるセキュリティ事故の発生は当事者及び組織における業務の継続性を損ない、現状復帰にも多大な労力とコストを要します。健全な組織運営という観点からも無視できないリスク要因と言えるでしょう。
　かつて日本は言語の壁によって、欧米諸国と比べて攻撃者から狙われにくいと言われてきました。しかし、技術の進歩やサイバー犯罪がある種のビジネスとして成長してきたことにより、攻撃者達にとって言語の壁は些末（さまつ）なことになりつつあります。当たり前ですが攻撃者は目的達成のために抵抗力の弱い相手を探し、より少ない労力で目的を達成しようとします。だからこそ、抵抗力を高めてサイバー攻撃者のモチベーションを下げる取り組みをすることが重要となってきているのです。

　セキュリティ対策を検討する上では、サイバー攻撃によってどのような被害が生じるのかを理解しておく必要があります。サイバー攻撃による直接的な被害としては一般的に以下の三つに大別することができます。
（1）情報が破壊される
　情報の破壊は多くのマルウエア（パソコンやサーバー、サービスやネットワークに害を与えたり、悪用したりすることを目的とした悪意のあるソフトウエアの総称）に実装された基本戦術の一つで、攻撃者は侵入した端末やその端末を踏み台にして侵入した他の端末内のデータを暗号化または直接的に破壊して使用不能にします。
　最近では「ランサムウエア」と称されるマルウエアによって引き起こされる被害として認知されています。ランサムウエアは英語で「Ransomware」と表記され、「Ransom（身代金）」と「Software（ソフトウエア）」を組み合わせた造語として用いられています。
　ランサムウエアのよく知られた特性はデータを暗号化して、その復号と引き換えに金銭を要求するものですが、盗み出した機密情報の公開、システムやネットワークを過負荷状態にする等、多様な金銭要求方法が存在しています。
（2）情報が盗まれる
　情報を盗むことも多くのマルウエアに実装された基本戦術の一つで、攻撃者は侵入した端末やその端末を踏み台にして侵入した他の端末内の情報を盗み出して不当に公開したり、第三者に対して売却してしまいます。盗まれた情報の内容や攻撃者の行動次第では二次、三次的な被害に発展する場合があります。
　従来から情報を盗むことに特化したマルウエアは多いのですが、最近ではランサムウエアを用いる攻撃者が暗号化の解除のための身代金の支払い要求を拒否した相手に対し、二つ目の脅迫行為として用いることが多くなっています。
（3）端末が乗っ取られる
　端末が乗っ取られるとは、攻撃者が侵入した端末やその端末を踏み台にして侵入した他の端末を、外部から遠隔操作可能な状態にすることで、これらは「bot（ボット）」と呼ばれ、攻撃者によって直接悪用される場合と第三者に対して販売されてしまう場合があります。
　最近はIAB（Initial Access Broker）と称する攻撃対象のネットワークに侵入するための経路を確立することを専業とする犯罪者が暗躍しており、彼らが仕立てた「bot」やそこから得られる各種情報は他の攻撃者に提供される場合があります。

　今や医療現場においてITを活用することは先進医療や病院経営において欠かすことのできないものとなりました。しかし、ITへの依存度が高まることは、攻撃対象領域が広がるとともに、これまで以上にサイバー攻撃の影響が大きくなることを意味します。
　一般企業と違い、医療データや人の命を預かる医療機関においては、セキュリティ対策は重大な検討課題となります。前述の事例は医療分野のIT化の裏で懸念されていたリスクが顕在化したものだと言えます。
　IBM Security「X-Force脅威インテリジェンス・インデックス 2021」によると、全業種の中に占める医療業界へのサイバー攻撃の割合は、2019年が10位（全体の3・0％）、2020年が7位（全体の6・6％）となっており、着実に割合が増えています。また、医療業界に対するサイバー攻撃の種別として最も多いのがランサムウエアによる攻撃（28％）となっており、他の業種と比べても高い値となっています。2020年10月には米国で400を超える病院を狙った大規模なサイバー攻撃の計画が発覚し、警察と複数のセキュリティ会社の連携で被害を未然に防いだケースもありました。
　医療機関を狙う犯罪者達の動機はさまざまであり、一概に推し量ることはできません。しかし、サイバー攻撃者達にとって攻撃の対象であるということは揺るぎない事実であることを認識しておく必要があります。

　では、このような脅威に対してどのような点に留意していくべきなのでしょうか。サイバー攻撃は日々進化しているため、完璧な対策は存在しません。しかし、過去の侵害事例を振り返ると、そのリスクを大幅に緩和するためのヒントが見えてきます。ランサムウエア等の脅威はある日突然、院内ネットワークにどこからともなくテレポートしてくるわけではなく、侵入される何らかのきっかけが存在しています。
　過去の侵害事例を見ると、（1）院内関係者が意図せず持ち込む、（2）院内関係者が罠に掛かる、（3）セキュリティ設定の不備を突かれる―の三つに大別することができます。
　（1）の場合、私物のパソコンや外部記憶装置といった、本来は院内のネットワーク上に存在してはいけないものを媒介として脅威が持ち込まれています。
　また、（2）の場合は、実在する人物や組織になりすました詐欺メールによるマルウエア感染、フィッシングサイト（実在する金融機関や企業等を装った偽のウェブサイト）を通じて内部へ侵入するための情報を窃取（せっしゅ）されるといったものが挙げられます。
　そして、（3）の場合は、院内ネットワークにあるセキュリティ装置や業務・医療システムそのものの設定不備やメンテナンス不足によって引き起こされてしまうものです。
　これらの場合、（1）はIT統制の問題、（2）はリテラシーの問題、（3）はシステム管理の問題であると言えます。いずれの場合も、情報システムまたは情報セキュリティを理解した専任者がいない場合、自力で対処するのは難しいかも知れません。
　しかし、これらの問題は医療業界特有の話ではありません。既に民間企業向けにこれらの問題に対処するための分かりやすいガイドラインが情報処理推進機構より公開されています（https://www.ipa.go.jp/security/keihatsu/sme/guideline/）ので、これらを参考にすると良いでしょう。

　ここで、それぞれの問題に対するアプローチを例示させて頂きます。
　（1）については、安全性が担保できない私物パソコンや外部記憶装置をネットワークに接続してはいけないというルールを規定すべきです。もし、ルールでIT統制を効かせることが難しい場合には、許可されていない機器をネットワークに接続できないように制御する機能を提供するセキュリティツールに頼ることも検討して下さい。
　（2）については、攻撃手法は日々変わっていくため、継続的に職員に対する注意喚起とセキュリティ教育を行っていくことが効果的です。なぜなら、組織として最新のテクノロジーを採用した強固なセキュリティ対策を施していたとしても、職員の行動が最終的には攻撃の成否を決めるからです。教育に必要な情報の多くは情報処理推進機構のウェブサイトでも日々公開されていますし、専門の教育・研修サービスを活用する方法もあります。
　最後に（3）ですが、この問題は過去の侵害事例において被害が深刻化してしまった要因となっているため、以下の四つのポイントにご留意願います。
1．院内で利用しているセキュリティ装置は提供元が推奨する最新の状態を必ず保つ。
2．セキュリティ装置に設定されている通信設定を改めて確認する（不必要な通信が通過しないようにする）。
3．業務・医療システムとそこへ接続するパソコン等はセグメントを必ず分けて必要な通信以外は通らないようにする。
4．業務・医療システムが長期間にわたって脆弱（ぜいじゃく）な状態にならないように計画的に対処する。
　ただし、さまざまな条件を考慮して、これらを実装に落とし込むには専門的な知識が必要になるため、信頼できる外部の専門事業者に協力を求めることを推奨します。

　セキュリティ対策で重要なことは有事を想定するのではなく、平時から最新かつ適正なIT環境を維持するための衛生状態を管理していくことにあります。有事を想定した対策は、いわゆる治療行為であり、既に起こった問題の解決を図るための対症療法でしかなく、根本的な問題解決にはつながりません。特に医療現場においては、たった一つの有事が取り返しのつかない状況を引き起こす可能性があります。だからこそ、徹底した予防に努めることが必要なのです。
　国内でもサイバー攻撃の被害に遭う医療機関は増えつつあります。最悪のケースを招かないためにもIT環境の健全性を保つ取り組みに改めて目を向けて頂ければ幸いです。

各医療機関に最低限実施してもらいたい6カ条 1、安全性が担保できない私物パソコンやUSBメモリ等の外部記憶装置を接続しない。 2、職員に対する注意喚起とセキュリティ教育を継続的に行う。 3、院内で利用しているセキュリティ装置を提供元が推奨する最新の状態に必ず保つ。 4、セキュリティ装置に不必要な通信が通過する設定が施されていないか改めて確認をする。 5、業務・医療システムとそこへ接続するパソコン等はネットワーク（セグメント）を必ず分ける。 6、業務・医療システムが長期間にわたって脆弱な状態にならないようにする。 ※上記の3～6はご利用の情報システムの保守事業者に確認・相談願います。

サイバー攻撃を受けた場合の対応方法

サイバー攻撃を受けた疑いがある場合、あるいは受けてしまった場合には、以下のようなご対応をお願いいたします。 ○サイバー攻撃（コンピューターウイルスの感染等）を受けた疑いがある場合 　被害の拡大を防ぐため、直ちにご利用の情報システムの保守事業者等に連絡して、指示を仰いで下さい。 ○診療系情報システムの停止や個人情報の流出等の被害等が発生した場合 　下記にご連絡願います。 　▶厚生労働省医政局研究開発振興課医療情報技術推進室 　TEL：03-3595-2430　E-mail：igishitsu@mhlw.go.jp 　なお、一般的な情報セキュリティ（主にウイルスや不正アクセス）に関する技術的な相談をしたい場合には、下記の相談窓口もご活用願います。 　▶情報処理推進機構（IPA） 情報セキュリティ安心相談窓口 　https://www.ipa.go.jp/security/anshin/index.html 　TEL：03-5978-7509（平日日中のみ）　E-mail：anshin@ipa.go.jp